Ověřování signatury TrueCryptu

[txt]

Zdravím,
prosím vás o radu.

Pokouším se ověřit pravost instalátoru TrueCryptu staženého z oficiálních stránek http://www.truecrypt.org/downloads (PGP soubor .sig)

Nejprve jsem to zkusil v klikátku Kleopatra (součást GPG4Win). I kdybych se rozkrájel, končí to chybou "not enough information to check signature validity". Podotýkám, že veřejný klíč  jsem importoval (http://www.truecrypt.org/downloads2).

Poté jsem to zkusil pomocí příkazové řádky podle návodu http://www.mattnworb.com/post/16019918033/how-to-verify-a-pgp-signature-with-gnupg
a to končí chybou "Can't check signature: general error"

Stejnou chybou končí i postup podle manuálu http://gnupg.org/gph/en/manual/x135.html

========================================
Dělám chybu já, anebo je truecrypt kompromitován?

[Reklama]

[Serapis]

Já to obvykle kontroluji takhle...

1) Stáhnu archiv s TC a odpovídající PGP podpis.
2) Importuji veřejný klíč.
     gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0xF0D6B1E0
3) Zkontroluji fingerprint importovaného veřejného klíče proti údajům tady http://www.truecrypt.org/downloads2.
     gpg --fingerprint 0xF0D6B1E0
4) Zkontroluji jestli podpis sedí na soubor, který jsem stáhnul.
     gpg --verify (soubor s podpisem) (soubor s TC)

Všechno se musí dělat pod rootem nebo přes sudo.

[txt]

Klíč se importuje úspěšně, pomocí gpg --list-keys ho to vypíše.

C:\gnupg>gpg --verify "TrueCrypt Setup 7.1a.exe.sig" "TrueCrypt Setup 7.1a.exe"
gpg: Signature made 02/07/12 21:56:28  using DSA key ID F0D6B1E0
gpg: DSA requires the use of a 160 bit hash algorithm
gpg: Can't check signature: general error

Je to spuštěný pod adminem (w7 64b). Soubory jsem zkoušel nahrát do různejch adresářů...

Můžu gpg zkusit nainstalovat pod debianem, ale stejně nevidim důvod proč by to nemělo jít pod windows.

[txt]

Pod linuxem je výstup:

gpg: Signature made Tue 07 Feb 2012 09:56:28 PM CET using DSA key ID F0D6B1E0
gpg: Good signature from "TrueCrypt Foundation <info@truecrypt-foundation.org>"
gpg:                 aka "TrueCrypt Foundation <contact@truecrypt.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: C5F4 BAC4 A7B2 2DB8 B8F8  5538 E3BA 73CA F0D6 B1E0

Píše, že podpis je ok, ale dále varuje, že ho někdo mohl majiteli šlohnout. Jak jen můžu vědět, jestli mi někdo nepodstrčil nějaký pekelný binárky...

[neuvadim]

Zdravim,

"majiteli šlohnout" - apropo - neni vam divne ze majitel (realne jmeno ci alespon realna firma) je neznamy? ;-)

[Reklama]

[Jan Forman]

Zdravim,

"majiteli šlohnout" - apropo - neni vam divne ze majitel (realne jmeno ci alespon realna firma) je neznamy? ;-)

Prý to kdysi bylo registrované v ČR a je pravda, že nikdo neví kdo za tím stojí (možná záměrně, aby mu nemohl někdo zaklepat na dveře s potřebou pomoct).

[s]

jako ok, si nejsem jist smysluplnosti toho celeho. Dejme tomu, ze ti nekdo chce podstrcit binarku truecryptu. Patrne nejjednoduzsi zpusob je, ze pred tebe postavi proxy. Proc pak ale nepodstrcit i ten klic? Myslim, tvoje jistota, ze tvuj truecrypt opravdu ubalil.... eeee... "nekdo hodny" je ted uplne stejna jako pred kontrolou toho klice.

[Franta <xkucf03/>]

Já to obvykle kontroluji takhle...

1) Stáhnu archiv s TC a odpovídající PGP podpis.
2) Importuji veřejný klíč.
     gpg --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0xF0D6B1E0
3) Zkontroluji fingerprint importovaného veřejného klíče proti údajům tady http://www.truecrypt.org/downloads2.
     gpg --fingerprint 0xF0D6B1E0
4) Zkontroluji jestli podpis sedí na soubor, který jsem stáhnul.
     gpg --verify (soubor s podpisem) (soubor s TC)

Všechno se musí dělat pod rootem nebo přes sudo.

1) roota na ověřování podpisů opravdu nepotřebuješ

2) aby to celé mělo smysl, je potřeba získat otisk klíče nějakou nezávislou cestou. Jinak to vyjde nastejno, jako kdybys jen zkontroloval hash (např. sha1). Kdyby totiž někdo prováděl MITM útok, může podvrhnout nejen samotný instalátor, ale i webovou stránku, ze které si čteš otisk klíče.

Proto je potřeba, aby ses na tu stránku podíval alespoň z několika různých míst (např. doma, v práci, doma, přes nějakou proxy…) nebo na ni přistupovat přes HTTPS (za předpokladu, že certifikát vydala důvěryhodná CA) nebo lépe použít WoT (web of trust) a zkontrolovat, že daný klíč podepsal někdo důvěryhodný – např. někdo z tvých známých nebo nějaká autorita.

[Serapis]

Po zralém uvážení s druhým bodem vlastně souhlasím

ad bod 1 ... Nemám s gpg až tolik zkušeností, ale vždycky když jsem se pokusil importovat veřejný klíč pod klasickým účtem, tak mi to vyhodilo hlášku typu...

gpg: failed to create temporary file `/home/[username]/.gnupg/.#lk0x25444e0.ubuntuPC.3689': Operace zamítnuta
gpg: failed to create temporary file `/home/[username]/.gnupg/.#lk0x2548f70.ubuntuPC.3689': Operace zamítnuta
gpg: zdroj bloku klíče `/home/[username]/.gnupg/pubring.gpg': obecná chyba

Složka .gnupg má práva 700 a vlastní jí root, tak mi to ani nepřišlo divný. Takhle mi to v základní instalaci Ubuntu (ne)fungovalo snad vždycky.