GPG4winダウンロードファイルの信頼性を確認する方法は?
ダウンロードしたGPG4winファイルが実際に正当であることを確認しようとしています。 GnuPGがインストールされていることが確認されているマシンにアクセスできます。走った
> gpg --recv EC70B1B8
> gpg -v --verify gpg4win-2.3.3.exe.sig gpg4win-2.3.3.exe
Version: GnuPG v1.4.12 (GNU/Linux)
gpg: armor header:
gpg: Signature made Thu 18 Aug 2016 05:20:50 AM EDT using DSA key ID EC70B1B8
gpg: using PGP trust model
gpg: Good signature from "Intevation File Distribution Key <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 61AC 3F5E E4BE 593C 13D6 8B1E 7CBD 620B EC70 B1B8
gpg: binary signature, digest algorithm SHA1
私の懸念は、主キーの指紋がWebサイトのコード署名証明書と一致しないことです。
コード署名証明書2016年4月以降のすべてのGpg4winexeインストーラーファイルは、次のコード署名証明書で署名されています。
S/N: 1121A3D67EAB28AA86FD85728B57FA62630D Issuer: CN=GlobalSign CodeSigning CA - SHA256 - G2,O=GlobalSign nv-sa,C=BE Subject: 1.2.840.113549.1.9.1=#636F64657369676E696E6740696E7465766174696F6E2E6465,CN=IntevationGmbH、O = Integration GmbH、L = Osnabrueck、ST = Niedersachsen、C = DE sha1_fpr:DE:16:D5:97:2F:0B:73:95:F7:D9:1E:DC:1F:21:9B: 0F:FE:89:FA:B3 md5_fpr:C0:98:08:94:D4:E7:97:3E:9D:F4:18:E4:5E:0A:2E:D7 notBefore:2016-03-30 16 :54:41 notAfter:2019-03-31 16:54:41
sha1_fprを主キーの指紋と比較しています。それは正しいことではありませんか?
さまざまな種類の署名を比較しています。 gpg4win-2.3.3.exe.sigの署名はOpenPGP署名であり、GnuPGを介して確認できます(ただし、WindowsはOpenPGPをサポートしていません)。一方、コード署名証明書(たとえば、Windowsによって検証される)はX.509証明書です。この署名はgpg4win-2.3.3.exeファイルに埋め込まれています。私が正しく覚えていれば、 SignTool verify gpg4win-2.3.3.exe で確認できるはずです。
OpenPGP証明書とX.509証明書はどちらも基本的に同じ暗号化の原則(つまりRSAキー)に依存していますが、それらのキーと証明書には互換性がありません。同じRSAキーペアから証明書を作成することもできますが、それらは異なり、フィンガープリントも異なります。異なる情報が含まれています。
重要な違いは、基盤となる信頼システムでもあります。OpenPGPはweb of trustに依存しています(自分または他の人から始まる信頼パスを検索しています信頼され検証された鍵;まだそうしていないため、信頼されていない署名のメッセージ)、X.509は階層的アプローチを使用します:いわゆる認証局信頼され、他の人に証明書を発行することが許可されています(ここでは、これはグローバルサインです)。