web-dev-qa-db-ja.com

torbrowserの署名検証が失敗する-グリッチまたは「攻撃」?

新しいLinux Mint 18.1インストールでTORを使用してみました。だから私はapt-get installed torbrowser-launchertorの場合、実行 torbrowser-launcher 。ダイアログボックスが開き、TORブラウザーをダウンロードしていることがわかりました。しかしそれが行われたとき、それは署名チェックに失敗し、そして私は「攻撃を受けている」かもしれないと言った(ああ、私の!)。

今、私が個人的に攻撃を受けている可能性は非常に低い(私はそのために十分に重要ではない)ので、私はそれがいくつかの技術的な不具合であるか、またははるかに可能性は低いが可能であると思います-自分自身ではなく、ISPを対象とする中間攻撃、悪意のある政府による監視など。

どうすればわかりますか?私は何をすべきか?

ちなみに、ダウンロードされたURLは次のとおりです。

https://dist.torproject.org/torbrowser/6.5/tor-browser-linux64-6.5_en-US.tar.xz.aschttps://dist.torproject.org /torbrowser/6.5/tor-browser-linux64-6.5_en-US.tar.xz

securitytorsignature
6
einpoklum

これは攻撃ではなく、古いキーです。

GitHubリポジトリ に、この問題に関する issue report があります。

そこで報告されている回避策は、すべてではないにしても一部のシステムでは機能しますが、実行することです。

gpg --homedir "$HOME/.local/share/torbrowser/gnupg_homedir/" --refresh-keys --keyserver pgp.mit.edu

torbrowser-launcher。その後、動作します。 Kusalanandaの提案も機能する可能性は十分にありますが、キーの更新を元に戻さない限り確認できません。

22
einpoklum

署名と圧縮アーカイブをダウンロードしたら、キーサーバーからキーを取得し、署名を確認します。

$ gpg2 --recv-key D1483FA6C3C07136
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <[email protected]>" imported
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   2  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 2u
gpg: Total number processed: 1
gpg:               imported: 1

$ gpg2 --verify tor-browser-linux64-6.5_en-US.tar.xz.asc
gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg:                using RSA key D1483FA6C3C07136
gpg: Good signature from "Tor Browser Developers (signing key) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: A430 0A6B C93C 0877 A445  1486 D148 3FA6 C3C0 7136

したがって、署名は良好です。もう一度試すか、Tor Browserの課題追跡で報告された問題と同じかどうかを調査することをお勧めします( 問題26 )。

検証するキーをどのようにして知りましたか?

私は最初にキーをフェッチせずに検証を実行し、得ました:

gpg: assuming signed data in 'tor-browser-linux64-6.5_en-US.tar.xz'
gpg: Signature made Tue Jan 24 15:42:49 2017 CET
gpg:                using RSA key D1483FA6C3C07136
gpg: Can't check signature: No public key

次に、D1483FA6C3C07136をTorプロジェクトのサイトにリストされているキーIDと照合して確認したところ、それが実際に正しいキーであることがわかりました。 https://www.torproject.org/docs/signing-keys.html) en

これは、開発者と直接会って、個人的にソフトウェアのUSBスティックを私に手渡してもらうことなく、アーカイブが改ざんされなかったことを知ることができるのと同じくらい近いと思います。

2
Kusalananda