Проверить подлинность Trezor Suite

1

1

Здравствуйте! Есть приложение Trezor suite для криптовалюты «Trezor-Suite-20.12.1-linux-x86_64.AppImage». Не до конца понимаю как проверить подлинность файла. Мануалы читал, но смутно понимаю процедуру проверки. Trezor предполагает проверить так:

gpg --import satoshilabs-2020-signing-key.asc

gpg --verify Trezor-Suite-20.12.1-linux-x86_64.AppImage.asc
gpg: assuming signed data in 'Trezor-Suite-20.12.1-linux-x86_64.AppImage'
gpg: Signature made Tue Dec  8 14:11:52 2020 MSK
gpg:                using RSA key 54067D8BBF00554181B5AB8F26A3A56662F0E7E2
gpg: Good signature from "SatoshiLabs 2020 Signing Key" [expired]
gpg: Note: This key has expired!

Все три файла я скачал с сайта trezor, как я могу быть уверен, что эти файлы не разместил злоумышленник? Также не понимаю обычно размещают контрольную сумму, которую можно проверить через shasu256 или 512, тут такого нет.

gpg жалуется, что ключ просрочен. Неужели trezor еще не обновили информацию для 2021? Пробовал ключ satoshilabs-2021-signing-key.asc, который также скачал с сайта trezor, но он получается не подходит, т.к. файл выпущен в декабре 2020

Ссылка

←	Qubes OS 4.0.4 RC2

Деперсонализация ПД

→

Все три файла я скачал с сайта trezor, как я могу быть уверен, что эти файлы не разместил злоумышленник?

HTTPS, отпечаток ключа (если указан в каком-то другом «надёжном» месте), подписи этого ключа кем-то другим.

Также не понимаю обычно размещают контрольную сумму, которую можно проверить через shasu256 или 512, тут такого нет.

GPG-подпись это и есть зашифровання контрольная сумма.

gpg жалуется, что ключ просрочен.

Это значит, что им больше ничего нельзя подписывать. На прошлые подписи не влияет. Если бы подпись была невалидной, то не должно было быть «Good signature».

xaizek ★★★★★
(25.01.21 19:59:42 MSK)

Все три файла я скачал с сайта trezor, как я могу быть уверен, что эти файлы не разместил злоумышленник?

Внимание обращаешь только на публичный ключ. Возможно на другой странице есть отпечатки этого ключа, их надо сверить с импортированным:

gpg –fingerprint 54067D8BBF00554181B5AB8F26A3A56662F0E7E2

По возможности публичный ключ закачивается с разных мест и сверяется. Например из серверов публичных ключей:

gpg –recive-keys 54067D8BBF00554181B5AB8F26A3A56662F0E7E2

gpg –keyserver hkps://pgp.mit.edu:443 –recive-keys 54067D8BBF00554181B5AB8F26A3A56662F0E7E2

Стоит загружать публичные ключи PGP как на прямую, так и через разные анонимные сети: tor, i2p и разных провайдеров: домашний, на работе, в вузе, мобильный. Хорошая дока: https://www.qubes-os.org/security/verifying-signatures/

Полученные ключи сверить:

gpg –list-keys SatoshiLabs

Теперь смотрим подписи этого ключа:

gpg –list-keys –with-sig-check 54067D8BBF00554181B5AB8F26A3A56662F0E7E2

Вопрос доверия к подписям решается WoT.

Ты должен завести свою пару секретный/публичный ключ PGP. Свой секретный ключ храни запароленым и офлайн! Подписать своим секретным ключом публичные ключи людей которых паспортные данные ты 100% знаешь и 100% знаешь, что они полностью контролируют E-mail указанный в ключе (сотрудники на работе, однокурсники, учасники конференции). Верификация побуквенно паспортных данных и E-mail указанных в публичном ключе, при его подписи, - обязательна!

WoT сформирует от твоего ключа к «SatoshiLabs 2020 Signing Key» цепочки доверия. Если ты видишь больше 3-5 разных цепочек доверия от твоего ключа к их, значит можно почти быть уверенным в подлинности скачанного открытого ключа PGP.

https://www.opennet.ru/docs/RUS/pgupg/management.html#AEN339

https://www.opennet.ru/docs/RUS/pgupg/wise.html#AEN556

anonymous
(26.01.21 09:53:35 MSK)

Ссылка

12 апреля 2021 г.

Ответ на: комментарий от xaizek 25.01.21 19:59:42 MSK

Это значит, что им больше ничего нельзя подписывать. На прошлые подписи не влияет.

Не так. Это значит, что запланированный период доверия этому ключу истёк, и он должен теперь подозреваться в том что его за этот период могли подделать или тупо украсть, а затем подписать им что угодно, в том числе и задним числом. Конечно, старые подписи от этого не меняются, но теперь (по принятым политикам доверия) нельзя быть уверенным, что это действительно старые подписи, а не новый фейк со старой датой с украденного ключа. И если автор старых файлов всё ещё хочет чтобы на них была доверенная подпись - должен переподписать их свежим ключом. На практике же скорее всего старый ключ никто не воровал и бояться нечего. Некоторые вон вообще по http и без ключей раздают.

firkax ★★★★★
(12.04.21 14:08:20 MSK)

Ссылка

Все три файла я скачал с сайта trezor, как я могу быть уверен, что эти файлы не разместил злоумышленник?

Обычно делают так: сам архив (тяжёлый) раздают через какой-нить сторонний недоверенный cdn, возможно даже без шифрования (чтобы как можно дешевле трафик стоил). Со своего же сайта (там дороже) раздают маленький файл, нужный чтобы проверить что тот сторонний cdn ничего не подменил.

Если подменят на самом сайте - то да, никакие проверочные подписи не спасут, но от этого защищаться этими методами и не пытаются.

firkax ★★★★★
(12.04.21 14:09:41 MSK)
Последнее исправление: firkax 12.04.21 14:15:52 MSK (всего исправлений: 2)