web-dev-qa-db-ja.com

なぜ公開gpgキーを信頼するのですか?

TrueCryptバイナリ(Xavierのようなソースではない)の整合性を検証しようとしています。 XavierdeCarnédeCarnavaletのガイド「Win32用にTrueCrypt7.1aをコンパイルし、公式のバイナリと一致させる方法」を使用しています。 https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/

そこで、提案されたファイルをダウンロードしました。 .ascファイルをダウンロードしてインポートした後の3番目のステップは、次のように説明されています。

「ここで、キーを信頼できるものとしてマークする必要があります。[インポートされた証明書]タブ> [所有者の信頼の変更]の下のリストでTrueCryptFoundation公開キーを右クリックし、チェックが簡単だと思うように設定します。」

今私の問題は

「キーを信頼できるものとしてマークする」。この公開鍵が改ざん/変更されていないことをどのように知ることができますか?なぜ私はそれを信頼する必要がありますか?

どんな種類の助けにも感謝します!

4
Pascal

「キーを信頼できるものとしてマークする」。この公開鍵が改ざん/変更されていないことをどのように知ることができますか?なぜ私はそれを信頼する必要がありますか?

ここでの問題は、基本的に公開鍵暗号に固有の問題です。最初にどのように信頼を確立しますか。

Truecrypt.org Webサイトがハッキングされた場合、理論的にはバイナリを変更し、新しいキーで再署名してから、新しいキーを公開する可能性があります。

これにはいくつかの不完全な救済策があります。

1つは、公開鍵サーバーで鍵を検索することです。攻撃者は、元のサイトとよく知られているキーサーバーの両方を危険にさらすことができないと想定/希望しています。

最も人気のある公開鍵サーバーの1つは http://pgp.mit.edu/ です。その公開鍵サーバーを検索すると、[email protected]にリストされている公開鍵をID(short) F0D6B1E で検索できます。pgp.mit.eduのその公開鍵は、truecryptに投稿された鍵と一致します。 .org Webサイト(または、少なくとも私がサイトにアクセスしたときにそうなります)。長いIDは0xE3BA73CAF0D6B1E0です。

とにかく、有効なキーを取得したよりも、複数の場所で公開されて同一であることがわかってキーを確認できれば、それが期待されます。

それでもキーサーバーを信頼できない場合は、帯域外の方法を使用してコピーを取得しようとする可能性があります。信頼できる人に、メールなどのフラッシュドライブにあるメールまたはIMのコピーを用意してください。

また、サイトが侵害された場合、多くの人々に気づかれ、すぐに公表されるという希望もあります。鍵サーバーのセキュリティ侵害、またはtruecryptサイトはかなり大きな問題であり、おそらくそれについて知ることができるでしょう。

4
Zoredache