LINUX.ORG.RU

Проверка подлинности ПО

 , ,


1

3

При получении дистрибутиов ПО, часто предлагается проверить целостность с помощью хэш-суммы и подлинность с помощью подписи.

По поводу целостности вопросов нет.

Вопрос по поводу подлинности: верно понимаю, что проверка с помощью pub-ключа, полученного из того же источника, что и данные, имеет смыслом только самоуспокоение? Или какой-нибудь профит всё таки есть?

Как, например, лоровец проверяет (если проверяет) подлинность установочных образов Debian?

★★
Ответ на: комментарий от pfg

В Gentoo проверка OpenPGP подписей встроена в emerge.

Прикладное использование gnupg в РФ.

Вася написал жалобу указав для ответа свой E-mail.

Чиновник Иванов Иван Иванович отправил ответ на E-mail Васи подписав его своей квалифицированной подписью.

Задача с помощью пакета gnupg проверить аутентичность и целостность полученного ответа.

Надо скачать по https с российским шифрованием ключи Минцифры (корень доверия в РФ), казначейств (удостоверяющий центр для всех чиновников в РФ) и чиновника Иванова Ивана Ивановича.

У меня https проверяется проксей на вирусы с полным MitM. Следовательно российское шифрование должна поддерживать системная библиотека ssl. В LibreSSL 3.9.0 поддержку ГОСТ удалили! Берём LibreSSL 3.8.4. Также ГОСТ держит текущая gnutls. А openssl требует левый плагин: https://github.com/gost-engine/engine Без поддержки ГОСТ шифрования в https всех нужных ключей не скачаете. Ещё наверно надо корневой CA сертификат РФ добавить, хотя бы временно, пока ключи не вытяните.

Ссылки неточные:

РФ приняла стандарт ключей X.509 (как у немцев). По этому работаем с утилитой gpgsm:

Импорт сертификатов и публичных ключей:

$ gpgsm --import file.cer

Проверка сертификата, корень минцифры:

$ gpgsm --verify file.cer

Проверка подписи на ответе чиновника Иванова Ивана Ивановича:

$ gpgsm --verify file.p7s file

Важны версии библиотек и в некоторых необходимо включить ГОСТ при сборке, при выполнении configure:

  • gnupg-2.4.5 - утилита gpgsm для работы с X.509
  • libgcrypt-1.11.0 - самая главная либа с крыптухой: (RFC 5830) / GOST R 34.12-2015 (Magma: RFC 8891 & Kuznyechik: RFC 7801); GOST R 34.11-94 / GOST 34.311-95, GOST R 34.11-2012 (Stribog) / RFC 6986; GOST R 34.10-2012 (RFC 7091)
  • libksba-1.6.7 - поддержка формата ключей X.509
  • =libressl-3.8.4 - поддержка ГОСТ в https

Чиновники заводят ключи в казначействе, юрлица в большинстве в налоговой. В каком УЦ завел свой ключ Вова? Как найти и скачать нужный публичный ключ Вовы? Алгоритм поиска если знаю E-mail и Ф.И.О. ?

У кого получилось с gpgsm:

  • Собрать систему с поддержкой ГОСТ крыптухи?
  • Получить по https и верифицировать публичные ключи X.509 и списки отозванных сертов CRL? Импортировать сертификаты?
  • Верифицировать ответ от чиновника?

Интересен положительный и отрицательный опыт работы gnupg, libressl, gnutls, openssl с российским шифрованием.

anonymous
()
Ответ на: комментарий от pfg

т.е. прикладной пример выложенного образа (да фуй с ним просто файла) с подтверждением через сеть доверия GPG. скачать и проверить «через три цепочки»…

Линус так каждый патч в ядро проверяет: https://git.kernel.org/pub/scm/docs/kernel/pgpkeys.git/tree/graphs

Можно построить цепочку до ключа Линуса, Грега: А как на деле воспользоваться web of trust? (комментарий) и проверь подпись архива ядра Linux.

До лета 2019 было все просто, сервера строили цепочки. Теперь сложно, сервера разделились по кучкам, связующие ключи полетели переполнив подписями…

anonymous
()
Ответ на: комментарий от anonymous

Помните, OpenPGP очень ненавидят АНБ, КГБ, ФСБ и прочие *Б

Просто запретят передачу шифрованного контента через интернет и всё. Отправил то, что не расшифровывается - получил вызов в полицию (если вы не банк).

Shushundr ★★★★
()
Ответ на: комментарий от Shushundr

А как же права человека гарантированные Конституцией? Жалобы вышестоящему начальству и прокурору за нарушение Конституционных прав!

Статья 23

1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.


Статья 29

1. Каждому гарантируется свобода мысли и слова.

2. Не допускаются пропаганда или агитация, возбуждающие социальную, расовую, национальную или религиозную ненависть и вражду. Запрещается пропаганда социального, расового, национального, религиозного или языкового превосходства.

3. Никто не может быть принужден к выражению своих мнений и убеждений или отказу от них.

4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

5. Гарантируется свобода массовой информации. Цензура запрещается.


Статья 55

1. Перечисление в Конституции Российской Федерации основных прав и свобод не должно толковаться как отрицание или умаление других общепризнанных прав и свобод человека и гражданина.

2. В Российской Федерации не должны издаваться законы, отменяющие или умаляющие права и свободы человека и гражданина.

3. Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.


Статья 56

1. В условиях чрезвычайного положения для обеспечения безопасности граждан и защиты конституционного строя в соответствии с федеральным конституционным законом могут устанавливаться отдельные ограничения прав и свобод с указанием пределов и срока их действия.

2. Чрезвычайное положение на всей территории Российской Федерации и в ее отдельных местностях может вводиться при наличии обстоятельств и в порядке, установленных федеральным конституционным законом.

3. Не подлежат ограничению права и свободы, предусмотренные статьями 20, 21, 23 (часть 1), 24, 28, 34 (часть 1), 40 (часть 1), 46 — 54 Конституции Российской Федерации.
anonymous
()
Ответ на: комментарий от anonymous

Статья 23

  1. Каждый имеет право на тайну переписки

Статья 56

  1. В условиях чрезвычайного положения
  1. Не подлежат ограничению права и свободы, предусмотренные статьями … 23 (часть 1) (не часть 2) …

Осталось выяснить в каких условиях мы живем: ЧП или СВО, ой, не ЧП.

anonymous
()