Изначальная установка PGP
by @lemon_crypto
Здесь будет небольшая подборка данных для безопасной установки продуктов с сайта https://gnupg.org/ для тех, кто столкнулся с необходимостью делать это в первый раз.
Что нам говорит сам сайт GnuPG насчет безопасной установки?
"If you already have a trusted version of GnuPG installed, you can check the supplied signature. For example, to check the signature of the file gnupg-2.2.23.tar.bz2.......Note: you should never use a GnuPG version you just downloaded to check the integrity of the source — use an existing, trusted GnuPG installation, e.g., the one provided by your distribution"
Тоесть, получается замкнутый круг: чтобы установить PGP надо проверить подпись разработчиков, а чтобы проверить подпись, надо иметь PGP :)
Для тех, у кого никаких PGP нет, предлагается следующее: "If you are not able to use an old version of GnuPG, you can still verify the file's SHA-1 checksum. This is less secure, because if someone modified the files as they were transferred to you, it would not be much more effort to modify the checksums that you see on this webpage. As such, if you use this method, you should compare the checksums with those in release announcement. This is sent to the gnupg-announce mailing list (among others), which is widely mirrored. Don't use the mailing list archive on this website, but find the announcement on several other websites and make sure the checksum is consistent. This makes it more difficult for an attacker to trick you into installing a modified version of the software." В принципе, все правильно, ведь если вы попадете на фишинговый сайт, или оф сайт взломают, то чек сумы будут подменены также, как и сами файлы установки.
Есть правда еще третий вариант - прочитать этот пост. И сравнить информацию в нем, с тем, что вы видите на сайте. Эдакий third party trusted check.
Начнем с самой основы - подписи файлов . Официальные ключи команды GnuPG лежат вот здесь - https://gnupg.org/signature_key.html . Вот несколько скриншотов (знаю, что можно по fingerprint отличать настоящий ключ от подделки, но гайд как бы для новичков):
Если бы у вас был PGP, и вы проверяли подпись файлов, вы по-хорошему должны бы были получить вот что то такое (спойлер: я сделал это за вас):
Чтобы вы не пугались насчет текста в виде "Данный ключ не заверен доверенной подписью!": PGP это децентрализованная система цифровой подписи, доверенной считается подпись заверенная ВАШИМ ключом который вы создаете при первом запуске программы, ну или любым другим который вы решите создать позже. Ключам можно давать разный уровень доверия и так далее. С этим уж разберетесь сами, благо гайдов хватает.
Насчет "Нет указаний на то, что подпись принадлежит владельцу": Всегда сверяйте fingerprint, если они совпадают, это и есть гарантия того, что подписывал тот, кто надо (в данном случае главный разработчик GnuPG - Werner Koch)
Теперь немного по чек суммам:
Смотрим что там у них на сайте:
Вот в принципе и все. Я проверил все что надо за вас, вы можете читать этот гайд и быть спокойными при установке, если все совпадает. НО! Проблема в том, что гайд актуален только под релиз 2.2.23 (как вы можете и сами догадаться), поэтому в случае чего, ищите его здесь - https://gnupg.org/download/release_notes.html , скачивайте (в релизах все что надо - есть) а дальше уже с помощью него устанавливайте более новые версии.