Zacząłem czytać książkę Linux From Scratch i w pierwszych kilku rozdziałach musisz pobrać źródła wszystkich pakietów oprogramowania, których będziesz potrzebować podczas instalacji. Książka zawiera md5sums do „sprawdzenia”, czy pobieranie działa, ale z punktu widzenia bezpieczeństwa nie jest to oczywiście wystarczające.
Ponieważ duża część instalacji LFS uczy się, jak to działa, zdecydowałem, że chcę zweryfikować podpisy dla moich źródłowych plików archiwalnych (lub przynajmniej kilku z nich). Udałem się więc do serwera GNU FTP ( https://ftp.gnu.org/
) i wymagają one pobrania ich kluczy, z ftp://ftp.gnu.org/gnu/gnu-keyring.gpg
których zawierają klucze publiczne wielu programistów do weryfikacji podpisów tarball.
Moje pytanie brzmi: co sprawia, że ten brelok jest godny zaufania? O ile widzę (i zakładam, że coś przeoczę), wciąż istnieje jeden punkt awarii, a mianowicie serwer FTP GNU. Jeśli atakujący przejmie kontrolę nad tym serwerem, może po prostu dołączyć swój własny klucz publiczny do klucza, a następnie zacząć podpisywać własne złośliwe pliki archiwalne, prawda?
Czy sam klucz jest podpisany innym kluczem publicznym należącym do projektu GNU, czy brakuje mi jeszcze innej warstwy bezpieczeństwa?