문서PGP의 신뢰 웹에 의존하기
인증을 위해 HTTPS를 신뢰하지 않는다면 약간 편집증적이지만 당연히 그렇습니다. 잘못된 인증서를 발급하여 잘못 사용되는 잘못 관리된 인증 기관의 사례가 많이 있습니다. 또한 암호화된 웹사이트에 가짜 인증서를 제공하여 기업 감사관이 환경을 모니터링할 수 있도록 하는 맞춤형 브라우저 내장 신뢰 저장소를 사용하여 많은 기업 네트워크에서 실행되는 "친숙한" 중간자 공격의 피해자가 될 수도 있습니다. - 암호화된 트래픽.
이와 같은 경우를 위해 우리는 우리가 제공하는 이미지의 체크섬에 서명하는 데 사용하는 GnuPG 키도 제공합니다. 키의 식별자와 지문이 여기에 표시됩니다.
pub rsa4096/0xED444FF07D8D0BF6 2012-03-05 [SC] [expires: 2018-02-02]
키 지문 = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
uid [ 전체 ] Kali Linux 리포지토리[이메일 보호]> 하위 rsa4096/0xA8373E18FC0D0DCB 2012-03-05 [E] [만료: 2018-02-02]
pub rsa4096/0xED444FF07D8D0BF6 2012-03-05 [SC] [expires: 2018-02-02]
키 지문 = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
uid [ 전체 ] Kali Linux 리포지토리[이메일 보호]> 하위 rsa4096/0xA8373E18FC0D0DCB 2012-03-05 [E] [만료: 2018-02-02]
이 키는 전역 키의 일부입니다. 신뢰의 웹 적어도 나(Raphaël Hertzog)가 서명했고 데비안 개발자로서 GnuPG를 많이 사용했기 때문에 나는 신뢰 웹의 일부이기 때문입니다.
PGP/GPG 보안 모델은 매우 독특합니다. 누구나 어떤 ID로든 키를 생성할 수 있지만 이미 신뢰하는 다른 키로 서명된 경우에만 해당 키를 신뢰하게 됩니다. 키에 서명할 때 귀하는 키 소유자를 만났고 관련 신원이 정확하다는 것을 알고 있음을 인증합니다. 그리고 신뢰할 수 있는 초기 키 세트를 정의합니다. 여기에는 분명히 자신의 키가 포함됩니다.
이 모델에는 고유한 제한 사항이 있으므로 HTTPS(또는 키 서버)를 통해 Kali의 공개 키를 다운로드하도록 선택할 수 있으며 지문이 이 책의 바로 위를 포함하여 여러 위치에서 발표한 내용과 일치하므로 이를 신뢰한다고 결정할 수 있습니다.
$ wget -q -O - https://www.kali.org/archive-key.asc | gpg --import
[ 또는 ]
$ gpg --keyserver hkp://keys.gnupg.net --recv-키 ED444FF07D8D0BF6
gpg: 키 0xED444FF07D8D0BF6: 공개 키 ”Kali Linux 저장소[이메일 보호]>" 가져온 gpg: 처리된 총 수: 1
gpg: 가져온: 1 (RSA: 1) [...]
$ gpg --지문 7D8D0BF6
[...]
키 지문 = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
[...]
$ wget -q -O - https://www.kali.org/archive-key.asc | gpg --import
[ 또는 ]
$ gpg --keyserver hkp://keys.gnupg.net --recv-키 ED444FF07D8D0BF6
gpg: 키 0xED444FF07D8D0BF6: 공개 키 ”Kali Linux 저장소[이메일 보호]>" 가져온 gpg: 처리된 총 수: 1
gpg: 가져온: 1 (RSA: 1) [...]
$ gpg --지문 7D8D0BF6
[...]
키 지문 = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
[...]
키를 검색한 후 이를 사용하여 배포된 이미지의 체크섬을 확인할 수 있습니다. 체크섬이 포함된 파일을 다운로드해 보겠습니다(SHA256SUMS) 및 관련 서명 파일(SHA256SUMS.gpg) 서명을 확인합니다.
$ wget http://cdimage.kali.org/current/SHA256SUMS
[...]
$ wget http://cdimage.kali.org/current/SHA256SUMS.gpg
[...]
$ gpg --SHA256SUMS.gpg SHA256SUMS 확인
gpg: 서명이 작성됨 Thu 16 Mar 2017 오전 08:55:45 MDT gpg: RSA 키 ED444FF07D8D0BF6 사용
gpg: "Kali Linux Repository"의 좋은 서명[이메일 보호]>”
$ wget http://cdimage.kali.org/current/SHA256SUMS
[...]
$ wget http://cdimage.kali.org/current/SHA256SUMS.gpg
[...]
$ gpg --SHA256SUMS.gpg SHA256SUMS 확인
gpg: 서명이 작성됨 Thu 16 Mar 2017 오전 08:55:45 MDT gpg: RSA 키 ED444FF07D8D0BF6 사용
gpg: "Kali Linux Repository"의 좋은 서명[이메일 보호]>”
"좋은 서명"이라는 메시지가 나타나면 해당 내용을 신뢰할 수 있습니다. SHA256SUMS 파일을 다운로드하고 이를 사용하여 다운로드한 파일을 확인합니다. 그렇지 않으면 문제가 있습니다. 합법적인 Kali Linux 미러에서 파일을 다운로드했는지 검토해야 합니다.
다음 명령줄을 사용하여 다운로드한 파일에 나열된 것과 동일한 체크섬이 있는지 확인할 수 있습니다. SHA256SUMS단, 다운로드한 ISO 파일이 동일한 디렉터리에 있는 경우:
$ grep kali-linux-2017.1-amd64.iso SHA256SUMS | sha256sum -c
kali-linux-2017.1-amd64.iso: 확인
$ grep kali-linux-2017.1-amd64.iso SHA256SUMS | sha256sum -c
kali-linux-2017.1-amd64.iso: 확인
당신이 얻지 못하면 OK 이에 대한 응답으로 다운로드한 파일은 Kali 팀에서 공개한 파일과 다릅니다. 신뢰할 수 없으며 사용해서는 안 됩니다.