ああ、フィンガープリント置いてあった [appspot.com]。 vsftpd tarballs are now GPG signed by me (8660 FD32 91B1 84CD BC2F 6418 AA62 EC46 3C0E 751C)
このサイト自体が改竄されてる可能性もないではないけど、まあ何とか検証できるかな。
% gpg --verify vsftpd-2.3.4.tar.gz.asc Warning: using insecure memory! gpg: Signature made Wed Feb 16 07:38:11 2011 JST using DSA key ID 3C0E751C gpg: Can't check signature: No public key % gpg --recv 3C0E751C Warning: using insecure memory! gpg: requesting key 3C0E751C from hkp server keys.gnupg.net gpg: key 3C
GPG署名を確認 (スコア:3, 参考になる)
Re: (スコア:0)
なんでおもおかモデがついてるのかわからんけど、これ重要なことだよ。
署名自体は誰でも(悪意の第三者でも)できるので、
.tar.gz だけでなく .tar.gz.asc までセットで置き換えられたら改竄を検知できない。
なので、誰がどんな鍵を使って署名したのかという情報も合わせて
チェックしないといけないんだけど、そのへんの情報は公開されてんのかしら。
Re: (スコア:3, 参考になる)
ああ、フィンガープリント 置いてあった [appspot.com]。
vsftpd tarballs are now GPG signed by me (8660 FD32 91B1 84CD BC2F 6418 AA62 EC46 3C0E 751C)
このサイト自体が改竄されてる可能性もないではないけど、まあ何とか検証できるかな。
% gpg --verify vsftpd-2.3.4.tar.gz.asc
Warning: using insecure memory!
gpg: Signature made Wed Feb 16 07:38:11 2011 JST using DSA key ID 3C0E751C
gpg: Can't check signature: No public key
% gpg --recv 3C0E751C
Warning: using insecure memory!
gpg: requesting key 3C0E751C from hkp server keys.gnupg.net
gpg: key 3C
Re: (スコア:0)
Re:GPG署名を確認 (スコア:2, 興味深い)
うん、そこまで検証するの難しいよねぇ。
その fingerprint が置いてある security.appspot.com にオレオレじゃない HTTPS でつながってるので、
とりあえずそこまでの経路は正しいことはわかった。
問題は、そこに書いてあることがほんとに信用できるのかということだな。
というあたりが検証しきれていない。
でも、そこまで念入りに改竄するのはかなり困難なので、まあたぶん大丈夫だろう、と。
というか、公開されてる情報からはこれ以上の検証は無理なんじゃないかな。
あとはそういうイケナイことをするような奴がそこまで念入りに改竄するような周到な人間でないことを祈るだけ。