הסתמכות על רשת האמון של PGP ממדריך Kali Linux מאת OnWorks

עבור לתוכן

הסתמכות על רשת האמון של PGP

אם אינך סומך על HTTPS לצורך אימות, אתה קצת פרנואיד, אבל בצדק. ישנן דוגמאות רבות לרשויות אישורים שמנוהלות בצורה גרועה, שהנפיקו אישורים סוררים, שבסופו של דבר נוצלו לרעה. ייתכן גם שאתה קורבן למתקפת "ידידותית" מסוג "אדם באמצע" המיושמת ברשתות ארגוניות רבות, באמצעות מאגר אמון מותאם אישית המושתל בדפדפן, המציג אישורים מזויפים לאתרים מוצפנים, ומאפשר למבקרים ארגוניים לנטר תעבורה מוצפנת.

עבור מקרים כאלה, אנו מספקים גם מפתח GnuPG בו אנו משתמשים כדי לחתום על סכומי הבדיקה של התמונות שאנו מספקים. מזהי המפתח וטביעות האצבע שלו מוצגים כאן:

pub rsa4096/0xED444FF07D8D0BF6 2012-03-05 [SC] [expires: 2018-02-02]

טביעת אצבע של מפתח = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6

מאגר Kali Linux של uid [ מלא ][מוגן בדוא"ל]> sub rsa4096/0xA8373E18FC0D0DCB 2012-03-05 [E] [תפוג תוקף: 2018-02-02]

pub rsa4096/0xED444FF07D8D0BF6 2012-03-05 [SC] [expires: 2018-02-02]

טביעת אצבע של מפתח = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6

מאגר Kali Linux של uid [ מלא ][מוגן בדוא"ל]> sub rsa4096/0xA8373E18FC0D0DCB 2012-03-05 [E] [תפוג תוקף: 2018-02-02]

מפתח זה הוא חלק מגישה עולמית רשת של אמון כי זה נחתם לפחות על ידי (רפאל הרצוג) ואני חלק מרשת האמון עקב השימוש הרב שלי ב-GnuPG כמפתח דביאן.

מודל האבטחה PGP/GPG הוא ייחודי מאוד. כל אחד יכול ליצור כל מפתח עם כל זהות, אך תבטח במפתח זה רק אם הוא נחתם על ידי מפתח אחר שאתה כבר בוטח בו. כשאתה חותם על מפתח, אתה מאשר שפגשת את בעל המפתח ושאתה יודע שהזהות המשויכת נכונה. ואתה מגדיר את קבוצת המפתחות הראשונית שאתה בוטח בה, הכוללת כמובן את המפתח שלך.

למודל זה יש מגבלות משלו, כך שתוכלו לבחור להוריד את המפתח הציבורי של קאלי דרך HTTPS (או משרת מפתחות) ולהחליט שאתם סומכים עליו מכיוון שטביעת האצבע שלו תואמת את מה שהכרזנו במספר מקומות, כולל ממש למעלה בספר זה:

$ wget -q -O - https://www.kali.org/archive-key.asc | gpg --ייבוא

[ או ]

$ gpg --keyserver hkp://keys.gnupg.net --recv-key ED444FF07D8D0BF6

gpg: מפתח 0xED444FF07D8D0BF6: מפתח ציבורי "מאגר קאלי לינוקס[מוגן בדוא"ל]>” gpg מיובא: סה"כ עיבוד: 1

gpg: מיובא: 1 (RSA: 1) [...]

$ gpg --טביעת אצבע 7D8D0BF6

[...]

טביעת אצבע של מפתח = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6

[...]

$ wget -q -O - https://www.kali.org/archive-key.asc | gpg --ייבוא

[ או ]

$ gpg --keyserver hkp://keys.gnupg.net --recv-key ED444FF07D8D0BF6

gpg: מפתח 0xED444FF07D8D0BF6: מפתח ציבורי "מאגר קאלי לינוקס[מוגן בדוא"ל]>” gpg מיובא: סה"כ עיבוד: 1

gpg: מיובא: 1 (RSA: 1) [...]

$ gpg --טביעת אצבע 7D8D0BF6

[...]

טביעת אצבע של מפתח = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6

[...]

לאחר שאחזרתם את המפתח, תוכלו להשתמש בו כדי לאמת את סכומי הבדיקה של התמונות המבוזרות. בואו נוריד את הקובץ עם סכומי הבדיקה (SHA256SUMS) וקובץ החתימה המשויך (SHA256SUMS.gpg) ולאמת את החתימה:

$ wget http://cdimage.kali.org/current/SHA256SUMS

[...]

$ wget http://cdimage.kali.org/current/SHA256SUMS.gpg

[...]

$ gpg --אמת SHA256SUMS.gpg SHA256SUMS

gpg: חתימה בוצעה חמישי 16 מרץ 2017 08:55:45 AM MDT gpg: באמצעות מפתח RSA ED444FF07D8D0BF6

gpg: חתימה טובה מ"מאגר קאלי לינוקס"[מוגן בדוא"ל]> "

$ wget http://cdimage.kali.org/current/SHA256SUMS

[...]

$ wget http://cdimage.kali.org/current/SHA256SUMS.gpg

[...]

$ gpg --אמת SHA256SUMS.gpg SHA256SUMS

gpg: חתימה בוצעה חמישי 16 מרץ 2017 08:55:45 AM MDT gpg: באמצעות מפתח RSA ED444FF07D8D0BF6

gpg: חתימה טובה מ"מאגר קאלי לינוקס"[מוגן בדוא"ל]> "

אם אתם מקבלים את ההודעה "חתימה טובה", אתם יכולים לסמוך על התוכן שלה SHA256SUMS קובץ והשתמש בו כדי לאמת את הקבצים שהורדת. אחרת, יש בעיה. עליך לבדוק האם הורדת את הקבצים מ-mirror לגיטימי של Kali Linux.

שים לב שניתן להשתמש בשורת הפקודה הבאה כדי לוודא שלקובץ שהורדת יש את אותו סכום בדיקה שמופיע ב SHA256SUMS, בתנאי שקובץ ה-ISO שהורד נמצא באותה ספרייה:

$ grep kali-linux-2017.1-amd64.iso SHA256SUMS | sha256sum -c

kali-linux-2017.1-amd64.iso: בסדר

$ grep kali-linux-2017.1-amd64.iso SHA256SUMS | sha256sum -c

kali-linux-2017.1-amd64.iso: בסדר

אם לא תשיגו OK בתגובה, אז הקובץ שהורדת שונה מזה שפורסם על ידי צוות קאלי. לא ניתן לסמוך עליו ואין להשתמש בו.

<הקודם | תוכן | הבא>