我正在尝试验证TrueCrypt二进制文件的完整性(而不是Xavier之类的源代码)。正在使用Xavier deCarnéde Carnavalet的指南“我如何为Win32编译TrueCrypt 7.1a并匹配官方二进制文件”;https://madiba.encs.concordia.ca/~x_decarn/truecrypt-binaries-analysis/
因此,我下载了建议的文件。下载并导入.asc文件后的第三步描述为:
“现在,您应该将该密钥标记为受信任的:在“导入的证书”选项卡>更改所有者信任下的列表中,右键单击TrueCrypt Foundation公钥,并将其设置为我认为检查是随意的。”
现在我的问题是
“将密钥标记为受信任”。我怎么知道这个公钥没有被篡改/修改?我为什么要相信它?
感谢您的任何帮助!
“将密钥标记为受信任”。我怎么知道这个公钥没有被篡改/修改?我为什么要相信它?
您的问题基本上是公共密钥密码固有的问题。您从一开始就如何建立信任。
如果truecrypt.org网站被黑,则可以从理论上修改二进制文件,并使用新密钥对其进行重新签名,然后发布新密钥。
有一些不完善的补救措施。
一种是简单地在公用密钥服务器上查找密钥。假设/希望攻击者无法同时破坏原始站点和众所周知的关键服务器。
最受欢迎的公钥服务器之一是http://pgp.mit.edu/。如果您搜索该公共密钥服务器,则可以[email protected]使用ID(short)F0D6B1E0列出列出的公共密钥,pgp.mit.edu上的该公共密钥与truecrypt.org网站上发布的密钥相匹配(或者至少当我访问该网站)。长ID为0xE3BA73CAF0D6B1E0。
无论如何,希望是,如果您可以通过在多个位置找到已发布且相同的密钥来确认密钥,那么您将获得有效的密钥。
如果您仍然不信任关键服务器,则可以尝试使用某些带外方法来获取副本。让您信任的人在电子邮件或其他内容的闪存驱动器上以电子邮件或IM的形式发送副本。
还有希望的是,如果该站点遭到破坏,它将被许多人注意到并迅速得到宣传。关键服务器或truecrypt站点的安全漏洞将是非常重要的事情,您也许可以找到有关它的信息。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句