如何验证 Google 的 apt 签名密钥更改不是恶意的?

信息安全 gnupg 谷歌 密钥交换 易于
2021-08-12 06:36:50

我有一个设置 google chrome apt repo 的Ansible 脚本我将 Google 的签名密钥与脚本一起保存(而不是每次都下载),因为我认为它最大限度地减少了获得恶意密钥的机会(TOFU安全模型)。

现在密钥不再起作用:

W: GPG error: http://dl.google.com/linux/chrome/deb stable Release: 
   The following signatures couldn't be verified because the public key
   is not available: NO_PUBKEY 78BD65473CB3BD13
E: The repository 'http://dl.google.com/linux/chrome/deb stable Release' is not signed.

我最初下载它url指向不同的键(如:文件不同)。此外,我尝试通过指纹从不同来源获取密钥:

apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 78BD65473CB3BD13
apt-key export 78BD65473CB3BD13

我得到了另一个不同的文件。我应该使用哪一个?我如何确保我可以信任它?有没有办法检查旧密钥是否刚刚过期而新密钥是有效的继任者?

1个回答

我会与维护人员取得联系,询问他们有效密钥的指纹以及它是否(或应该)改变了。

鉴于此安全模型,简短的回答是在您可以验证之前不要使用新密钥。

其它你可能感兴趣的问题
上一篇ASLR 模式 2 的重要性 下一篇CVE-2020-0601 (ChainOfFools/CurveBall) 如何破坏 ECC?