by
Anonymous Coward
on 2011年07月06日 17時16分
(#1982815)
ああ、フィンガープリント置いてあった [appspot.com]。 vsftpd tarballs are now GPG signed by me (8660 FD32 91B1 84CD BC2F 6418 AA62 EC46 3C0E 751C)
このサイト自体が改竄されてる可能性もないではないけど、まあ何とか検証できるかな。
% gpg --verify vsftpd-2.3.4.tar.gz.asc Warning: using insecure memory! gpg: Signature made Wed Feb 16 07:38:11 2011 JST using DSA key ID 3C0E751C gpg: Can't check signature: No public key % gpg --recv 3C0E751C Warning: using insecure memory! gpg: requesting key 3C0E751C from hkp server keys.gnupg.net gpg: key 3C0E751C: public key "Chris Evans " imported gpg: Total number processed: 1 gpg: imported: 1 % gpg --fingerprint 3C0E751C Warning: using insecure memory! pub 1024D/3C0E751C 2004-06-29
Key fingerprint = 8660 FD32 91B1 84CD BC2F 6418 AA62 EC46 3C0E 751C uid Chris Evans sub 1024g/0A9EB17D 2004-06-29
% gpg --verify vsftpd-2.3.4.tar.gz.asc Warning: using insecure memory! gpg: Signature made Wed Feb 16 07:38:11 2011 JST using DSA key ID 3C0E751C gpg: Good signature from "Chris Evans " gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 8660 FD32 91B1 84CD BC2F 6418 AA62 EC46 3C0E 751C
GPG署名を確認 (スコア:3, 参考になる)
Re:GPG署名を確認 (スコア:0)
なんでおもおかモデがついてるのかわからんけど、これ重要なことだよ。
署名自体は誰でも(悪意の第三者でも)できるので、
.tar.gz だけでなく .tar.gz.asc までセットで置き換えられたら改竄を検知できない。
なので、誰がどんな鍵を使って署名したのかという情報も合わせて
チェックしないといけないんだけど、そのへんの情報は公開されてんのかしら。
Re:GPG署名を確認 (スコア:3, 参考になる)
ああ、フィンガープリント置いてあった [appspot.com]。
vsftpd tarballs are now GPG signed by me (8660 FD32 91B1 84CD BC2F 6418 AA62 EC46 3C0E 751C)
このサイト自体が改竄されてる可能性もないではないけど、まあ何とか検証できるかな。
% gpg --verify vsftpd-2.3.4.tar.gz.asc
Warning: using insecure memory!
gpg: Signature made Wed Feb 16 07:38:11 2011 JST using DSA key ID 3C0E751C
gpg: Can't check signature: No public key
% gpg --recv 3C0E751C
Warning: using insecure memory!
gpg: requesting key 3C0E751C from hkp server keys.gnupg.net
gpg: key 3C0E751C: public key "Chris Evans " imported
gpg: Total number processed: 1
gpg: imported: 1
% gpg --fingerprint 3C0E751C
Warning: using insecure memory!
pub 1024D/3C0E751C 2004-06-29
Key fingerprint = 8660 FD32 91B1 84CD BC2F 6418 AA62 EC46 3C0E 751C
uid Chris Evans
sub 1024g/0A9EB17D 2004-06-29
% gpg --verify vsftpd-2.3.4.tar.gz.asc
Warning: using insecure memory!
gpg: Signature made Wed Feb 16 07:38:11 2011 JST using DSA key ID 3C0E751C
gpg: Good signature from "Chris Evans "
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8660 FD32 91B1 84CD BC2F 6418 AA62 EC46 3C0E 751C
ということで、いくつか警告出たけど、公開されてる情報とフィンガープリントが一致し、Good signature になりました。
Re: (スコア:0)
Re:GPG署名を確認 (スコア:2, 興味深い)
うん、そこまで検証するの難しいよねぇ。
その fingerprint が置いてある security.appspot.com にオレオレじゃない HTTPS でつながってるので、
とりあえずそこまでの経路は正しいことはわかった。
問題は、そこに書いてあることがほんとに信用できるのかということだな。
というあたりが検証しきれていない。
でも、そこまで念入りに改竄するのはかなり困難なので、まあたぶん大丈夫だろう、と。
というか、公開されてる情報からはこれ以上の検証は無理なんじゃないかな。
あとはそういうイケナイことをするような奴がそこまで念入りに改竄するような周到な人間でないことを祈るだけ。
Re: (スコア:0)
いままで検証してきた人ならすぐ気づくけど、
いきなり改ざん版を検証した人は気づきにくいね。