Проверка подлинности ПО

В Gentoo проверка OpenPGP подписей встроена в emerge.

Прикладное использование gnupg в РФ.

Вася написал жалобу указав для ответа свой E-mail.

Чиновник Иванов Иван Иванович отправил ответ на E-mail Васи подписав его своей квалифицированной подписью.

Задача с помощью пакета gnupg проверить аутентичность и целостность полученного ответа.

Надо скачать по https с российским шифрованием ключи Минцифры (корень доверия в РФ), казначейств (удостоверяющий центр для всех чиновников в РФ) и чиновника Иванова Ивана Ивановича.

У меня https проверяется проксей на вирусы с полным MitM. Следовательно российское шифрование должна поддерживать системная библиотека ssl. В LibreSSL 3.9.0 поддержку ГОСТ удалили! Берём LibreSSL 3.8.4. Также ГОСТ держит текущая gnutls. А openssl требует левый плагин: https://github.com/gost-engine/engine Без поддержки ГОСТ шифрования в https всех нужных ключей не скачаете. Ещё наверно надо корневой CA сертификат РФ добавить, хотя бы временно, пока ключи не вытяните.

Ссылки неточные:

• https://reestr-pki.ru/cdp/ корневой минцифры
• https://roskazna.gov.ru/gis/udostoveryayushhij-centr/kornevye-sertifikaty/ корневой казначейства
• https://fzs.roskazna.ru/ публичные ключи чиновников

РФ приняла стандарт ключей X.509 (как у немцев). По этому работаем с утилитой gpgsm:

Импорт сертификатов и публичных ключей:

$ gpgsm --import file.cer

Проверка сертификата, корень минцифры:

$ gpgsm --verify file.cer

Проверка подписи на ответе чиновника Иванова Ивана Ивановича:

$ gpgsm --verify file.p7s file

Важны версии библиотек и в некоторых необходимо включить ГОСТ при сборке, при выполнении configure:

• gnupg-2.4.5 - утилита gpgsm для работы с X.509
• libgcrypt-1.11.0 - самая главная либа с крыптухой: (RFC 5830) / GOST R 34.12-2015 (Magma: RFC 8891 & Kuznyechik: RFC 7801); GOST R 34.11-94 / GOST 34.311-95, GOST R 34.11-2012 (Stribog) / RFC 6986; GOST R 34.10-2012 (RFC 7091)
• libksba-1.6.7 - поддержка формата ключей X.509
• =libressl-3.8.4 - поддержка ГОСТ в https

Чиновники заводят ключи в казначействе, юрлица в большинстве в налоговой. В каком УЦ завел свой ключ Вова? Как найти и скачать нужный публичный ключ Вовы? Алгоритм поиска если знаю E-mail и Ф.И.О. ?

У кого получилось с gpgsm:

• Собрать систему с поддержкой ГОСТ крыптухи?
• Получить по https и верифицировать публичные ключи X.509 и списки отозванных сертов CRL? Импортировать сертификаты?
• Верифицировать ответ от чиновника?

Интересен положительный и отрицательный опыт работы gnupg, libressl, gnutls, openssl с российским шифрованием.

т.е. прикладной пример выложенного образа (да фуй с ним просто файла) с подтверждением через сеть доверия GPG. скачать и проверить «через три цепочки»…

Линус так каждый патч в ядро проверяет: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/graphs

Можно построить цепочку до ключа Линуса, Грега: А как на деле воспользоваться web of trust? (комментарий) и проверь подпись архива ядра Linux.

До лета 2019 было все просто, сервера строили цепочки. Теперь сложно, сервера разделились по кучкам, связующие ключи полетели переполнив подписями…

Помните, OpenPGP очень ненавидят АНБ, КГБ, ФСБ и прочие *Б

Просто запретят передачу шифрованного контента через интернет и всё. Отправил то, что не расшифровывается - получил вызов в полицию (если вы не банк).