d******a
发帖数: 32122 | 1 我下载软件,都习惯验证一下。一般软件要么有电子签名,要么有sha1码(很多软件如
7zip可以计算sha1)
我这次下载lyx, 网站上让我经过好几步来进行gpg验证,至于这么麻烦嘛。
We provide gpg-signed tarballs and binaries. Our GPG key ID is
0xDE7A44FAC7FB382D (LyX Release Manager). The signatures are found next to
the tarballs and binaries.
To initially import our key via GnuPG, do this:
gpg --recv-keys FE66471B43559707AFDAD955DE7A44FAC7FB382D
Attention: Please be careful to use this full fingerprint, spoofed version
of shortened fingerprint is already in the wild and it is easy to make new
fake ones!
After that, each time you need to verify a tarball:
gpg --verify lyx-2.2.2.tar.gz.sig
to check the signature (or any other signed file you want to verify). Watch
out for the "Good signature..." string. |
a*o
发帖数: 19981 | 2 假装很安全,其实都是瞎掰,security的东西有80是over done to become a hassle,
19%是nonsense,真正有用的就1%。
【在 d******a 的大作中提到】
: 我下载软件,都习惯验证一下。一般软件要么有电子签名,要么有sha1码(很多软件如
: 7zip可以计算sha1)
: 我这次下载lyx, 网站上让我经过好几步来进行gpg验证,至于这么麻烦嘛。
: We provide gpg-signed tarballs and binaries. Our GPG key ID is
: 0xDE7A44FAC7FB382D (LyX Release Manager). The signatures are found next to
: the tarballs and binaries.
: To initially import our key via GnuPG, do this:
: gpg --recv-keys FE66471B43559707AFDAD955DE7A44FAC7FB382D
: Attention: Please be careful to use this full fingerprint, spoofed version
: of shortened fingerprint is already in the wild and it is easy to make new
|
h*******u
发帖数: 15326 | 3 这玩意就是买个保险
【在 a*o 的大作中提到】
: 假装很安全,其实都是瞎掰,security的东西有80是over done to become a hassle,
: 19%是nonsense,真正有用的就1%。
|
j********2
发帖数: 4438 | 4 好处是sha码谁都能算一个出来,坏人在软件里面加个木马再算个告诉你这是真的(比
如坏人自己弄个下载站),你没辙。gpg的话基于key,作者每个版本都通过同一个key
发布,你以后每次都能保证是同一个人发布的(是不是那个人要靠你长期验证了)
所以在长期来说是有意义的
【在 d******a 的大作中提到】
: 我下载软件,都习惯验证一下。一般软件要么有电子签名,要么有sha1码(很多软件如
: 7zip可以计算sha1)
: 我这次下载lyx, 网站上让我经过好几步来进行gpg验证,至于这么麻烦嘛。
: We provide gpg-signed tarballs and binaries. Our GPG key ID is
: 0xDE7A44FAC7FB382D (LyX Release Manager). The signatures are found next to
: the tarballs and binaries.
: To initially import our key via GnuPG, do this:
: gpg --recv-keys FE66471B43559707AFDAD955DE7A44FAC7FB382D
: Attention: Please be careful to use this full fingerprint, spoofed version
: of shortened fingerprint is already in the wild and it is easy to make new
|
d******a
发帖数: 32122 | 5 我从微软网站直接下计算SHA1的软件,有微软签名
不可能有问题
key
【在 j********2 的大作中提到】
: 好处是sha码谁都能算一个出来,坏人在软件里面加个木马再算个告诉你这是真的(比
: 如坏人自己弄个下载站),你没辙。gpg的话基于key,作者每个版本都通过同一个key
: 发布,你以后每次都能保证是同一个人发布的(是不是那个人要靠你长期验证了)
: 所以在长期来说是有意义的
|
a9
发帖数: 21638 | 6 GPG跟微软签名这个是两种不同的方式
(比
【在 d******a 的大作中提到】
: 我从微软网站直接下计算SHA1的软件,有微软签名
: 不可能有问题
:
: key
|
j********2
发帖数: 4438 | 7 比如说你去下载一个盗版软件,盗版网站上有一条sha,你用微软的sha软件算过了,能
对上,就表明盗版网站这个是真的吗?
其实sha和md5一样,多数是用来验证数据完整性的,和数据来源验证没啥关系
【在 d******a 的大作中提到】
: 我从微软网站直接下计算SHA1的软件,有微软签名
: 不可能有问题
:
: key
|
d******a
发帖数: 32122 | 8 我从lyx 或者ubuntu网站下载的 iso 和 sha1
然后从微软下载计算sha1的软件
一计算,对上了
这一切的一切,都是确保ubuntu网站是真的,可以通过google
GPG存在同样的问题,而且验证过程麻烦
【在 j********2 的大作中提到】
: 比如说你去下载一个盗版软件,盗版网站上有一条sha,你用微软的sha软件算过了,能
: 对上,就表明盗版网站这个是真的吗?
: 其实sha和md5一样,多数是用来验证数据完整性的,和数据来源验证没啥关系
|
d********g
发帖数: 10550 | 9 sha1只是算hash确认数据完整。GPG可以用来加密传输或者只签名。签名是保证数据来
源,这个和数据完整可以是分开的。比如一个签名的文件可以证明是特定的人发出的,
然后文件本身的sha1再验证数据是否完整
GPG并不是什么算法,你可以把它看成一套公私钥的保密流程
【在 d******a 的大作中提到】
: 我从lyx 或者ubuntu网站下载的 iso 和 sha1
: 然后从微软下载计算sha1的软件
: 一计算,对上了
: 这一切的一切,都是确保ubuntu网站是真的,可以通过google
: GPG存在同样的问题,而且验证过程麻烦
|
s********i
发帖数: 17328 | 10 这些安全工作的的好处就是,如果造假,你得全部造假,只要有一个环节是真的,就能
发现你拿到的是假货。这些东西的工作原理是一样的,我有一个private key,加个密
或者算个hash,给你一个public key,你去解密或者检验hash,这些public的东西,要
保证起来源正确,就要有一系列的东西来证明你的信息来源。(这就是前一段中国的某
机构乱发根证书的害处。)比如,browser上的那个小锁是要花钱买的。 |
|
|
a9
发帖数: 21638 | 11 这个PGP最大的缺点就是怎么证明这个私钥是原始发行商的。
还是代码签名证书可靠。
【在 s********i 的大作中提到】
: 这些安全工作的的好处就是,如果造假,你得全部造假,只要有一个环节是真的,就能
: 发现你拿到的是假货。这些东西的工作原理是一样的,我有一个private key,加个密
: 或者算个hash,给你一个public key,你去解密或者检验hash,这些public的东西,要
: 保证起来源正确,就要有一系列的东西来证明你的信息来源。(这就是前一段中国的某
: 机构乱发根证书的害处。)比如,browser上的那个小锁是要花钱买的。
|
s********i
发帖数: 17328 | 12 一回事儿。一般下载信息都来自网站。网站本身是可以验证真伪的。
【在 a9 的大作中提到】
: 这个PGP最大的缺点就是怎么证明这个私钥是原始发行商的。
: 还是代码签名证书可靠。
|
a9
发帖数: 21638 | 13 那你得证明“来自网站”是真的网站
【在 s********i 的大作中提到】
: 一回事儿。一般下载信息都来自网站。网站本身是可以验证真伪的。
|
s********i
发帖数: 17328 | 14 Browser就是干这个的
★ 发自iPhone App: ChineseWeb 13
【在 a9 的大作中提到】
: 那你得证明“来自网站”是真的网站
|
a9
发帖数: 21638 | 15 Browser不管这个的好不好。
比如你要下载一个软件,你输入网址的时候错了一个字母,上面有这个软件,也有一个
PGP公钥,你导进去然后装了这个软件。结果是个绑了木马的,这个PGP没办法吧?
【在 s********i 的大作中提到】
: Browser就是干这个的
:
: ★ 发自iPhone App: ChineseWeb 13
|
s********i
发帖数: 17328 | 16 你好好看看你的browser,网站真伪是基本功能
★ 发自iPhone App: ChineseWeb 13
【在 a9 的大作中提到】
: Browser不管这个的好不好。
: 比如你要下载一个软件,你输入网址的时候错了一个字母,上面有这个软件,也有一个
: PGP公钥,你导进去然后装了这个软件。结果是个绑了木马的,这个PGP没办法吧?
|
p****o
发帖数: 296 | 17 就是证明"你是你"的问题, 转到https提高的只是复杂度, 挡一部分middle attack, 钓
鱼怎么都钓到到. 要不怎么说最老牌的劫持,人cnnic都不屑去搞CA.
【在 s********i 的大作中提到】
: 你好好看看你的browser,网站真伪是基本功能
:
: ★ 发自iPhone App: ChineseWeb 13
|
s********i
发帖数: 17328 | 18 一般来讲小心一点点没问题啦。我觉得中国最大的问题是盗版横行,没有安全意识,把
证书发给流氓,我是流氓我怕谁。
【在 p****o 的大作中提到】
: 就是证明"你是你"的问题, 转到https提高的只是复杂度, 挡一部分middle attack, 钓
: 鱼怎么都钓到到. 要不怎么说最老牌的劫持,人cnnic都不屑去搞CA.
|
a9
发帖数: 21638 | 19 我的browser没有这个功能。
一个
【在 s********i 的大作中提到】
: 你好好看看你的browser,网站真伪是基本功能
:
: ★ 发自iPhone App: ChineseWeb 13
|
s********i
发帖数: 17328 | 20 你敲一个https://www.mitbbs.com 再敲一个https://www.mitbbs.org就看出区别了。
★ 发自iPhone App: ChineseWeb 13
【在 a9 的大作中提到】
: 我的browser没有这个功能。
:
: 一个
|
|
|
d********g
发帖数: 10550 | 21 PGP本来推荐是靠人肉背书,不定期搞party然后真人面对面sign。背书的人越多这个
key的可信度越高
不过因为麻烦,除了狂热爱好者,平时大家也就随便用用。聊胜于无吧
【在 a9 的大作中提到】
: 这个PGP最大的缺点就是怎么证明这个私钥是原始发行商的。
: 还是代码签名证书可靠。
|
d********g
发帖数: 10550 | 22 你信任的公钥没有问题。就算这个是木马网站下的,只要是你信任公钥对应的私钥签名
的,而且这个私钥没有泄露,你只要能验证就是没问题的。绑了木马只能重新签名或者
不签,如果私钥没有泄露,你用公钥一验证就知道真假了
物联网所有通信都不安全,公私钥本来就是给不安全通信设计的
【在 a9 的大作中提到】
: Browser不管这个的好不好。
: 比如你要下载一个软件,你输入网址的时候错了一个字母,上面有这个软件,也有一个
: PGP公钥,你导进去然后装了这个软件。结果是个绑了木马的,这个PGP没办法吧?
|
d********g
发帖数: 10550 | 23 你说这个是怎么确定信任公钥的问题。PGP一向是让人肉搞的。但是人肉也会有问题,
万一是个化妆的间谍呢?
【在 a9 的大作中提到】
: Browser不管这个的好不好。
: 比如你要下载一个软件,你输入网址的时候错了一个字母,上面有这个软件,也有一个
: PGP公钥,你导进去然后装了这个软件。结果是个绑了木马的,这个PGP没办法吧?
|
s********i
发帖数: 17328 | 24 不是这个意思。如果公要来自认证网站就不存在化妆间谍的问题了。
★ 发自iPhone App: ChineseWeb 13
【在 d********g 的大作中提到】
: 你说这个是怎么确定信任公钥的问题。PGP一向是让人肉搞的。但是人肉也会有问题,
: 万一是个化妆的间谍呢?
|
a9
发帖数: 21638 | 25 很多ca机构只验证域名持有者的,你这个跟没有有啥区别?
你以为这些开源软件舍得去买绿条证书吗?
【在 s********i 的大作中提到】
: 你敲一个https://www.mitbbs.com 再敲一个https://www.mitbbs.org就看出区别了。
:
: ★ 发自iPhone App: ChineseWeb 13
|
a9
发帖数: 21638 | 26 关键是公钥没法信任。证书签名至少还需要信任ca背书,只有密钥对这个有跟没有没啥
太大
区别
一个
【在 d********g 的大作中提到】
: 你信任的公钥没有问题。就算这个是木马网站下的,只要是你信任公钥对应的私钥签名
: 的,而且这个私钥没有泄露,你只要能验证就是没问题的。绑了木马只能重新签名或者
: 不签,如果私钥没有泄露,你用公钥一验证就知道真假了
: 物联网所有通信都不安全,公私钥本来就是给不安全通信设计的
|
s********i
发帖数: 17328 | 27 So?你不去验证我凭啥相信你?我建一个网站上写我是好人,你就把密码给我了?
★ 发自iPhone App: ChineseWeb 13
【在 a9 的大作中提到】
: 很多ca机构只验证域名持有者的,你这个跟没有有啥区别?
: 你以为这些开源软件舍得去买绿条证书吗?
|
d******a
发帖数: 32122 | 28 今天用gpg验证了一把,整体印象:脱了裤子放屁
【在 d******a 的大作中提到】
: 我下载软件,都习惯验证一下。一般软件要么有电子签名,要么有sha1码(很多软件如
: 7zip可以计算sha1)
: 我这次下载lyx, 网站上让我经过好几步来进行gpg验证,至于这么麻烦嘛。
: We provide gpg-signed tarballs and binaries. Our GPG key ID is
: 0xDE7A44FAC7FB382D (LyX Release Manager). The signatures are found next to
: the tarballs and binaries.
: To initially import our key via GnuPG, do this:
: gpg --recv-keys FE66471B43559707AFDAD955DE7A44FAC7FB382D
: Attention: Please be careful to use this full fingerprint, spoofed version
: of shortened fingerprint is already in the wild and it is easy to make new
|
s********i
发帖数: 17328 | 29 随便说两句系统安全意识。安全意识是啥?最基本的就是知道你自己对你的系统干了啥
,对家用电脑来说基本上就是软件安装使用和上网。软件安装和使用是啥意思,就是你
要用张三写的A软件做某事,你怎么保证这一点?上网是啥,就是你用browser到B网站
寻找信息,你怎么保证这一点?
你首先要保证你的OS系统是有保证的,比如,你的Windows得是微软认证的,你下载的
ISO也好,买机器自带的系统也好,去微软商店买的DVD也好,要保证没有被搞过的。这
样的系统都会自带很多常用的证书和根证书。
接下来你要安装软件,一运行安装程序,如果自带可验证的证书,那么OS就会提示你,
这个软件来自张三,你要装么?你下一步要决定你是否信任张三,再决定要不要装他的
软件。如果OS提示说,不知道这是谁的软件,那么你的risk就很高了。
再说上网,现代浏览器和网站安全验证是最基本的功能,用户必须知道去的网站是不是
我要去的网站,OS和浏览的证书根证书保证了这一点。比如,你下载个windows ISO需
要检验sha,你得去微软网站去找sha的值,而不说随便google一个就完了。 |
z*********e
发帖数: 10149 | 30 我前几天看到有个网站免费给签名
找找看能找到不
【在 a9 的大作中提到】
: 很多ca机构只验证域名持有者的,你这个跟没有有啥区别?
: 你以为这些开源软件舍得去买绿条证书吗?
|
|
|
z*********e
发帖数: 10149 | 31 嗯,这个地方
https://letsencrypt.org/
【在 z*********e 的大作中提到】
: 我前几天看到有个网站免费给签名
: 找找看能找到不
|
a9
发帖数: 21638 | 32 以前用startssl,不过被搞了
【在 z*********e 的大作中提到】
: 嗯,这个地方
: https://letsencrypt.org/
|
