由买买提看人间百态

boards

本页内容为未名空间相应帖子的节选和存档,一周内的贴子最多显示50字,超过一周显示500字 访问原贴
Hardware版 - GPG验证到底有什么好处?
相关主题
pogoplug PRO 求助Synology 怎样搞 virtual machine?
pogoplug U盘备份win7 oem系统
求教:用什么软件把光盘做成iso镜像请问哪里能下载干净的vista home premium?
该死的国内软件下载站免费windows 8
有必要用 pgp 吗?货币就是商品,纸币就是信用担保
cloudatcost.com有35刀的终生免费服务器Win8 重装系统问题,有包子。
硬盘嘎嘎响了,是不是就没救了现在的光盘刻录软件怎么都加私货呢
Lubuntu并不比Windows 10更适合老机器如果硬件装完了, 哪里去找/安装基本软件如WINDOWS 啊?
相关话题的讨论汇总
话题: gpg话题: 软件话题: sha1话题: 验证话题: browser
进入Hardware版参与讨论
1 (共1页)
d******a
发帖数: 32122
1
我下载软件,都习惯验证一下。一般软件要么有电子签名,要么有sha1码(很多软件如
7zip可以计算sha1)
我这次下载lyx, 网站上让我经过好几步来进行gpg验证,至于这么麻烦嘛。
We provide gpg-signed tarballs and binaries. Our GPG key ID is
0xDE7A44FAC7FB382D (LyX Release Manager). The signatures are found next to
the tarballs and binaries.
To initially import our key via GnuPG, do this:
gpg --recv-keys FE66471B43559707AFDAD955DE7A44FAC7FB382D
Attention: Please be careful to use this full fingerprint, spoofed version
of shortened fingerprint is already in the wild and it is easy to make new
fake ones!
After that, each time you need to verify a tarball:
gpg --verify lyx-2.2.2.tar.gz.sig
to check the signature (or any other signed file you want to verify). Watch
out for the "Good signature..." string.
a*o
发帖数: 19981
2
假装很安全,其实都是瞎掰,security的东西有80是over done to become a hassle,
19%是nonsense,真正有用的就1%。

【在 d******a 的大作中提到】
: 我下载软件,都习惯验证一下。一般软件要么有电子签名,要么有sha1码(很多软件如
: 7zip可以计算sha1)
: 我这次下载lyx, 网站上让我经过好几步来进行gpg验证,至于这么麻烦嘛。
: We provide gpg-signed tarballs and binaries. Our GPG key ID is
: 0xDE7A44FAC7FB382D (LyX Release Manager). The signatures are found next to
: the tarballs and binaries.
: To initially import our key via GnuPG, do this:
: gpg --recv-keys FE66471B43559707AFDAD955DE7A44FAC7FB382D
: Attention: Please be careful to use this full fingerprint, spoofed version
: of shortened fingerprint is already in the wild and it is easy to make new

h*******u
发帖数: 15326
3
这玩意就是买个保险

【在 a*o 的大作中提到】
: 假装很安全,其实都是瞎掰,security的东西有80是over done to become a hassle,
: 19%是nonsense,真正有用的就1%。

j********2
发帖数: 4438
4
好处是sha码谁都能算一个出来,坏人在软件里面加个木马再算个告诉你这是真的(比
如坏人自己弄个下载站),你没辙。gpg的话基于key,作者每个版本都通过同一个key
发布,你以后每次都能保证是同一个人发布的(是不是那个人要靠你长期验证了)
所以在长期来说是有意义的

【在 d******a 的大作中提到】
: 我下载软件,都习惯验证一下。一般软件要么有电子签名,要么有sha1码(很多软件如
: 7zip可以计算sha1)
: 我这次下载lyx, 网站上让我经过好几步来进行gpg验证,至于这么麻烦嘛。
: We provide gpg-signed tarballs and binaries. Our GPG key ID is
: 0xDE7A44FAC7FB382D (LyX Release Manager). The signatures are found next to
: the tarballs and binaries.
: To initially import our key via GnuPG, do this:
: gpg --recv-keys FE66471B43559707AFDAD955DE7A44FAC7FB382D
: Attention: Please be careful to use this full fingerprint, spoofed version
: of shortened fingerprint is already in the wild and it is easy to make new

d******a
发帖数: 32122
5
我从微软网站直接下计算SHA1的软件,有微软签名
不可能有问题

key

【在 j********2 的大作中提到】
: 好处是sha码谁都能算一个出来,坏人在软件里面加个木马再算个告诉你这是真的(比
: 如坏人自己弄个下载站),你没辙。gpg的话基于key,作者每个版本都通过同一个key
: 发布,你以后每次都能保证是同一个人发布的(是不是那个人要靠你长期验证了)
: 所以在长期来说是有意义的

a9
发帖数: 21638
6
GPG跟微软签名这个是两种不同的方式

(比

【在 d******a 的大作中提到】
: 我从微软网站直接下计算SHA1的软件,有微软签名
: 不可能有问题
:
: key

j********2
发帖数: 4438
7
比如说你去下载一个盗版软件,盗版网站上有一条sha,你用微软的sha软件算过了,能
对上,就表明盗版网站这个是真的吗?
其实sha和md5一样,多数是用来验证数据完整性的,和数据来源验证没啥关系

【在 d******a 的大作中提到】
: 我从微软网站直接下计算SHA1的软件,有微软签名
: 不可能有问题
:
: key

d******a
发帖数: 32122
8
我从lyx 或者ubuntu网站下载的 iso 和 sha1
然后从微软下载计算sha1的软件
一计算,对上了
这一切的一切,都是确保ubuntu网站是真的,可以通过google
GPG存在同样的问题,而且验证过程麻烦

【在 j********2 的大作中提到】
: 比如说你去下载一个盗版软件,盗版网站上有一条sha,你用微软的sha软件算过了,能
: 对上,就表明盗版网站这个是真的吗?
: 其实sha和md5一样,多数是用来验证数据完整性的,和数据来源验证没啥关系

d********g
发帖数: 10550
9
sha1只是算hash确认数据完整。GPG可以用来加密传输或者只签名。签名是保证数据来
源,这个和数据完整可以是分开的。比如一个签名的文件可以证明是特定的人发出的,
然后文件本身的sha1再验证数据是否完整
GPG并不是什么算法,你可以把它看成一套公私钥的保密流程

【在 d******a 的大作中提到】
: 我从lyx 或者ubuntu网站下载的 iso 和 sha1
: 然后从微软下载计算sha1的软件
: 一计算,对上了
: 这一切的一切,都是确保ubuntu网站是真的,可以通过google
: GPG存在同样的问题,而且验证过程麻烦

s********i
发帖数: 17328
10
这些安全工作的的好处就是,如果造假,你得全部造假,只要有一个环节是真的,就能
发现你拿到的是假货。这些东西的工作原理是一样的,我有一个private key,加个密
或者算个hash,给你一个public key,你去解密或者检验hash,这些public的东西,要
保证起来源正确,就要有一系列的东西来证明你的信息来源。(这就是前一段中国的某
机构乱发根证书的害处。)比如,browser上的那个小锁是要花钱买的。
相关主题
cloudatcost.com有35刀的终生免费服务器Synology 怎样搞 virtual machine?
硬盘嘎嘎响了,是不是就没救了win7 oem系统
Lubuntu并不比Windows 10更适合老机器请问哪里能下载干净的vista home premium?
进入Hardware版参与讨论
a9
发帖数: 21638
11
这个PGP最大的缺点就是怎么证明这个私钥是原始发行商的。
还是代码签名证书可靠。

【在 s********i 的大作中提到】
: 这些安全工作的的好处就是,如果造假,你得全部造假,只要有一个环节是真的,就能
: 发现你拿到的是假货。这些东西的工作原理是一样的,我有一个private key,加个密
: 或者算个hash,给你一个public key,你去解密或者检验hash,这些public的东西,要
: 保证起来源正确,就要有一系列的东西来证明你的信息来源。(这就是前一段中国的某
: 机构乱发根证书的害处。)比如,browser上的那个小锁是要花钱买的。

s********i
发帖数: 17328
12
一回事儿。一般下载信息都来自网站。网站本身是可以验证真伪的。

【在 a9 的大作中提到】
: 这个PGP最大的缺点就是怎么证明这个私钥是原始发行商的。
: 还是代码签名证书可靠。

a9
发帖数: 21638
13
那你得证明“来自网站”是真的网站

【在 s********i 的大作中提到】
: 一回事儿。一般下载信息都来自网站。网站本身是可以验证真伪的。
s********i
发帖数: 17328
14
Browser就是干这个的

★ 发自iPhone App: ChineseWeb 13

【在 a9 的大作中提到】
: 那你得证明“来自网站”是真的网站
a9
发帖数: 21638
15
Browser不管这个的好不好。
比如你要下载一个软件,你输入网址的时候错了一个字母,上面有这个软件,也有一个
PGP公钥,你导进去然后装了这个软件。结果是个绑了木马的,这个PGP没办法吧?

【在 s********i 的大作中提到】
: Browser就是干这个的
:
: ★ 发自iPhone App: ChineseWeb 13

s********i
发帖数: 17328
16
你好好看看你的browser,网站真伪是基本功能

★ 发自iPhone App: ChineseWeb 13

【在 a9 的大作中提到】
: Browser不管这个的好不好。
: 比如你要下载一个软件,你输入网址的时候错了一个字母,上面有这个软件,也有一个
: PGP公钥,你导进去然后装了这个软件。结果是个绑了木马的,这个PGP没办法吧?

p****o
发帖数: 296
17
就是证明"你是你"的问题, 转到https提高的只是复杂度, 挡一部分middle attack, 钓
鱼怎么都钓到到. 要不怎么说最老牌的劫持,人cnnic都不屑去搞CA.

【在 s********i 的大作中提到】
: 你好好看看你的browser,网站真伪是基本功能
:
: ★ 发自iPhone App: ChineseWeb 13

s********i
发帖数: 17328
18
一般来讲小心一点点没问题啦。我觉得中国最大的问题是盗版横行,没有安全意识,把
证书发给流氓,我是流氓我怕谁。

【在 p****o 的大作中提到】
: 就是证明"你是你"的问题, 转到https提高的只是复杂度, 挡一部分middle attack, 钓
: 鱼怎么都钓到到. 要不怎么说最老牌的劫持,人cnnic都不屑去搞CA.

a9
发帖数: 21638
19
我的browser没有这个功能。

一个

【在 s********i 的大作中提到】
: 你好好看看你的browser,网站真伪是基本功能
:
: ★ 发自iPhone App: ChineseWeb 13

s********i
发帖数: 17328
20
你敲一个https://www.mitbbs.com 再敲一个https://www.mitbbs.org就看出区别了。

★ 发自iPhone App: ChineseWeb 13

【在 a9 的大作中提到】
: 我的browser没有这个功能。
:
: 一个

相关主题
免费windows 8现在的光盘刻录软件怎么都加私货呢
货币就是商品,纸币就是信用担保如果硬件装完了, 哪里去找/安装基本软件如WINDOWS 啊?
Win8 重装系统问题,有包子。dell老本本,没有安装盘了,怎么装win10
进入Hardware版参与讨论
d********g
发帖数: 10550
21
PGP本来推荐是靠人肉背书,不定期搞party然后真人面对面sign。背书的人越多这个
key的可信度越高
不过因为麻烦,除了狂热爱好者,平时大家也就随便用用。聊胜于无吧

【在 a9 的大作中提到】
: 这个PGP最大的缺点就是怎么证明这个私钥是原始发行商的。
: 还是代码签名证书可靠。

d********g
发帖数: 10550
22
你信任的公钥没有问题。就算这个是木马网站下的,只要是你信任公钥对应的私钥签名
的,而且这个私钥没有泄露,你只要能验证就是没问题的。绑了木马只能重新签名或者
不签,如果私钥没有泄露,你用公钥一验证就知道真假了
物联网所有通信都不安全,公私钥本来就是给不安全通信设计的

【在 a9 的大作中提到】
: Browser不管这个的好不好。
: 比如你要下载一个软件,你输入网址的时候错了一个字母,上面有这个软件,也有一个
: PGP公钥,你导进去然后装了这个软件。结果是个绑了木马的,这个PGP没办法吧?

d********g
发帖数: 10550
23
你说这个是怎么确定信任公钥的问题。PGP一向是让人肉搞的。但是人肉也会有问题,
万一是个化妆的间谍呢?

【在 a9 的大作中提到】
: Browser不管这个的好不好。
: 比如你要下载一个软件,你输入网址的时候错了一个字母,上面有这个软件,也有一个
: PGP公钥,你导进去然后装了这个软件。结果是个绑了木马的,这个PGP没办法吧?

s********i
发帖数: 17328
24
不是这个意思。如果公要来自认证网站就不存在化妆间谍的问题了。

★ 发自iPhone App: ChineseWeb 13

【在 d********g 的大作中提到】
: 你说这个是怎么确定信任公钥的问题。PGP一向是让人肉搞的。但是人肉也会有问题,
: 万一是个化妆的间谍呢?

a9
发帖数: 21638
25
很多ca机构只验证域名持有者的,你这个跟没有有啥区别?
你以为这些开源软件舍得去买绿条证书吗?

【在 s********i 的大作中提到】
: 你敲一个https://www.mitbbs.com 再敲一个https://www.mitbbs.org就看出区别了。
:
: ★ 发自iPhone App: ChineseWeb 13

a9
发帖数: 21638
26
关键是公钥没法信任。证书签名至少还需要信任ca背书,只有密钥对这个有跟没有没啥
太大
区别

一个

【在 d********g 的大作中提到】
: 你信任的公钥没有问题。就算这个是木马网站下的,只要是你信任公钥对应的私钥签名
: 的,而且这个私钥没有泄露,你只要能验证就是没问题的。绑了木马只能重新签名或者
: 不签,如果私钥没有泄露,你用公钥一验证就知道真假了
: 物联网所有通信都不安全,公私钥本来就是给不安全通信设计的

s********i
发帖数: 17328
27
So?你不去验证我凭啥相信你?我建一个网站上写我是好人,你就把密码给我了?

★ 发自iPhone App: ChineseWeb 13

【在 a9 的大作中提到】
: 很多ca机构只验证域名持有者的,你这个跟没有有啥区别?
: 你以为这些开源软件舍得去买绿条证书吗?

d******a
发帖数: 32122
28
今天用gpg验证了一把,整体印象:脱了裤子放屁

【在 d******a 的大作中提到】
: 我下载软件,都习惯验证一下。一般软件要么有电子签名,要么有sha1码(很多软件如
: 7zip可以计算sha1)
: 我这次下载lyx, 网站上让我经过好几步来进行gpg验证,至于这么麻烦嘛。
: We provide gpg-signed tarballs and binaries. Our GPG key ID is
: 0xDE7A44FAC7FB382D (LyX Release Manager). The signatures are found next to
: the tarballs and binaries.
: To initially import our key via GnuPG, do this:
: gpg --recv-keys FE66471B43559707AFDAD955DE7A44FAC7FB382D
: Attention: Please be careful to use this full fingerprint, spoofed version
: of shortened fingerprint is already in the wild and it is easy to make new

s********i
发帖数: 17328
29
随便说两句系统安全意识。安全意识是啥?最基本的就是知道你自己对你的系统干了啥
,对家用电脑来说基本上就是软件安装使用和上网。软件安装和使用是啥意思,就是你
要用张三写的A软件做某事,你怎么保证这一点?上网是啥,就是你用browser到B网站
寻找信息,你怎么保证这一点?
你首先要保证你的OS系统是有保证的,比如,你的Windows得是微软认证的,你下载的
ISO也好,买机器自带的系统也好,去微软商店买的DVD也好,要保证没有被搞过的。这
样的系统都会自带很多常用的证书和根证书。
接下来你要安装软件,一运行安装程序,如果自带可验证的证书,那么OS就会提示你,
这个软件来自张三,你要装么?你下一步要决定你是否信任张三,再决定要不要装他的
软件。如果OS提示说,不知道这是谁的软件,那么你的risk就很高了。
再说上网,现代浏览器和网站安全验证是最基本的功能,用户必须知道去的网站是不是
我要去的网站,OS和浏览的证书根证书保证了这一点。比如,你下载个windows ISO需
要检验sha,你得去微软网站去找sha的值,而不说随便google一个就完了。
z*********e
发帖数: 10149
30
我前几天看到有个网站免费给签名
找找看能找到不

【在 a9 的大作中提到】
: 很多ca机构只验证域名持有者的,你这个跟没有有啥区别?
: 你以为这些开源软件舍得去买绿条证书吗?

相关主题
联想的 Windows 10 OEM 已经泄露pogoplug U盘备份
MSDN 上的Win10 ISO跟泄露版一样求教:用什么软件把光盘做成iso镜像
pogoplug PRO 求助该死的国内软件下载站
进入Hardware版参与讨论
z*********e
发帖数: 10149
31
嗯,这个地方
https://letsencrypt.org/

【在 z*********e 的大作中提到】
: 我前几天看到有个网站免费给签名
: 找找看能找到不

a9
发帖数: 21638
32
以前用startssl,不过被搞了

【在 z*********e 的大作中提到】
: 嗯,这个地方
: https://letsencrypt.org/

1 (共1页)
进入Hardware版参与讨论
相关主题
如果硬件装完了, 哪里去找/安装基本软件如WINDOWS 啊?有必要用 pgp 吗?
dell老本本,没有安装盘了,怎么装win10cloudatcost.com有35刀的终生免费服务器
联想的 Windows 10 OEM 已经泄露硬盘嘎嘎响了,是不是就没救了
MSDN 上的Win10 ISO跟泄露版一样Lubuntu并不比Windows 10更适合老机器
pogoplug PRO 求助Synology 怎样搞 virtual machine?
pogoplug U盘备份win7 oem系统
求教:用什么软件把光盘做成iso镜像请问哪里能下载干净的vista home premium?
该死的国内软件下载站免费windows 8
相关话题的讨论汇总
话题: gpg话题: 软件话题: sha1话题: 验证话题: browser