GPG and asc

Какая «фигня» выходит?

$ ls LibreOffice_24.2.2_Linux_x86-64_deb.tar.gz*
LibreOffice_24.2.2_Linux_x86-64_deb.tar.gz  LibreOffice_24.2.2_Linux_x86-64_deb.tar.gz.asc

$ gpg --list-key LibreOffice
pub   rsa4096 2010-10-11 [SC]
      C2839ECAD9408FBE9531C3E9F434A1EFAFEEAEA3
uid           [ unknown] LibreOffice Build Team (CODE SIGNING KEY) <build@documentfoundation.org>
sub   rsa4096 2010-10-11 [E]

$ gpg --verify LibreOffice_24.2.2_Linux_x86-64_deb.tar.gz.asc 
gpg: assuming signed data in 'LibreOffice_24.2.2_Linux_x86-64_deb.tar.gz'
gpg: Signature made Mon 25 Mar 2024 14:10:46 MSK
gpg:                using RSA key C2839ECAD9408FBE9531C3E9F434A1EFAFEEAEA3
gpg: Good signature from "LibreOffice Build Team (CODE SIGNING KEY) <build@documentfoundation.org>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: C283 9ECA D940 8FBE 9531  C3E9 F434 A1EF AFEE AEA3

[ unknown] LibreOffice Build Team

This key is not certified with a trusted signature! There is no indication that the signature belongs to the owner.

Это типа круто ?

P.S. При том раньше это подтверждалось место где ЭТО раздавали, а тут есть еще всякие hkt сайты, по сути 3е сторона и не факт что это хорошо.

gpg: Good signature from «LibreOffice Build Team (CODE SIGNING KEY) build@documentfoundation.org» [unknown]

Подпись валидна.

gpg: WARNING: This key is not certified with a trusted signature!

Ключ, которым подписан tar.gz не является доверенным с точки зрения твоего локального gpg. Например, к нему нет цепочки от ключей, которые ты пометил, как доверенные, или ты сам ключ явно не отметил, как доверенный.

Подробности про Web of trust можно тут прочитать: https://www.gnupg.org/gph/en/manual/x334.html

Ну да, у меня это выглядит так :

gpg: Подпись создана Пт 22 мар 2024 20:42:36 +04 ключом RSA с ID AFEEAEA3
gpg: Действительная подпись от "LibreOffice Build Team (CODE SIGNING KEY) <build@documentfoundation.org>"
gpg: ВНИМАНИЕ: Данный ключ не заверен доверенной подписью!
gpg:          Нет указаний на то, что подпись принадлежит владельцу.
 Отпечаток главного ключа: C283 9ECA D940 8FBE 9531  C3E9 F434 A1EF AFEE AEA3

Т.е. я еще должен еще что то делать … может все таки sha512 из файла лежащего рядом получше будет ?

И кстати вот он пишет :

gpg –list-key LibreOffice

Это фигня пашет после того как сам ключ экспортируешь, я это его нашел, интересно как он его нашел. Не увидел я доки на сайте LO как это ключ правильно найти.

P.S. Кстати и зачем они убрали эти суммы рядом ? Они что кому то мешали ?

может все таки sha512 из файла лежащего рядом получше будет ?

нет. подпись работает даже если скачивающие не видели странички и не знают, какой там хеш был. Это не подходит для автосборки, и гарантии, предоставляемые хешом, меньше гарантий, которые может предоставить подпись.

заменили контрольные суммы на ЭЦП. Типа, проверять не только что содержимое пакета совпадает с опубликованным на сайте, но и что его авторы - действительно разработчики LO.

Сделано на случай, если например сайт LO хакнут и выложат туда пакет с вирусами, подменив в том числе и контрольные суммы. Подменить ЭЦП хакеры не смогут, если не узнают секретный ключ, хранящийся у разработчиков.

Что теперь делать? Установить gnupg, скачать нужный открытый ключ

$ gpg --keyserver hkp://keys.gnupg.net --recv-keys AFEEAEA3

и настроить доверие к нему

$  printf "5\ny\n" | gpg --command-fd 0 --edit-key AFEEAEA3 trust

Всё, теперь им можно проверять подписи и не будет варнингов

Выше уже все толково объяснили. Импортируешь ключ ЛО, проверяешь любой подписанный этим ключом файл без доп. файла с хешсуммой. Удобнее, надежнее. Повышать ли уровень доверия к ключам, которые ты импортируешь, - дело твое. Я не повышаю выше стандартного ни к каким ключам, кроме своих собственных при импорте их на другие системы.

Сделано на случай, если например сайт LO хакнут

Нуда LO хакнут а этот, ну типа hkp://keys.gnupg.net никогда не хакнут. Такое себе …

Я выше писал что нашел кей, причем инструкцию на ЛО (можете мне показать ЭТУ инструкцию на сайте ЛО?) а я так и не увидел и читал на левых форумах про строку :

$ gpg --keyserver hkp://keys.gnupg.net --recv-keys AFEEAEA3

И вот я делаю:

env http_proxy="http://proxy:3128" gpg --keyserver hkp://keys.gnupg.net --recv-keys AFEEAEA3
gpg: запрашиваю ключ AFEEAEA3 с hkp сервера keys.gnupg.net
gpgkeys: key AFEEAEA3 can't be retrieved
gpg: не найдено данных формата OpenPGP.
gpg: Всего обработано: 0

Я повторяю что нашел нужный ключ потом и поставил его, но это совершенно не по его ID.

P.S. Кстати про строку :

$ printf «5\ny\n» | gpg –command-fd 0 –edit-key AFEEAEA3 trust

особо никто не писал …

Нуда LO хакнут а этот, ну типа hkp://keys.gnupg.net никогда не хакнут. Такое себе …

так ты скачаешь себе этот ключ сейчас, когда точно ничего не хакнуто, и будешь проверять им подписи не обращаясь к сети. Т.ч. возможные будущие хакеры ничего не смогут с этим поделать.

Кстати про строку особо никто не писал

ну у ключей gpg есть 5 уровней доверия. Чтобы ключ получил этот уровень, нужно либо вручную его присвоить, либо создать цепочку, когда один доверенный ключ подписывает другой. Вторым сейчас (да и в принципе всегда) занимаются только бородатые фанатики, поэтому остается первое. Что эта команда и делает.

так ты скачаешь себе этот ключ сейчас, когда точно ничего не хакнуто,

Интересно как я узнаю что в этот момент оно еще не уже.

Да знаю я про это все. Мне не нравится что на сайте ЛО нет нормальной подробной по шагам документации как и что делать с этим asc, а то что я слева нахожу/нашел работает не точно как написано :(

P.S. Пока я искал доки я наткнулся на разные, среди них к примеру : https://wiki.manjaro.org/index.php/How-to_verify_GPG_key_of_official_.ISO_images

Где такая страница у ЛО ?