gpg: OSTRZEŻENIE: wiadomość nie była chroniona integralnością


14

Jestem trochę zdezorientowany, co to oznacza.

Stało się tak, że ktoś zaszyfrował dla mnie wiadomość za pomocą mojego klucza publicznego i podpisał ją swoim prywatnym kluczem - jak zwykle.

Następnie odszyfrowuję wiadomość ...

-bash-3.2$ gpg --decrypt /tmp/det_prod_cred.txt.asc 
gpg: encrypted with 2048-bit ELG-E key, ID 2E52ED13, created 2001-10-15
      "XXXXXXX1"
gpg: encrypted with 4096-bit RSA key, ID 0BB096A1, created 2009-08-12
      "XXXXXXX2"
username = XXXXXXXXXX3  
password = XXXXXXXXXX4
gpg: Signature made Wed 12 Aug 2009 15:47:17 EST using DSA key ID C2E36CC8
gpg: Good signature from "17155x01"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 826A E10D 8AAB 49A0 E9B6  0478 3A70 240F C2E3 6CC8
gpg: WARNING: message was not integrity protected

... Wiem, że przesłanie jest pełne i prawdopodobnie powinienem zrozumieć, o co mu chodzi - ale nie jestem pewien, czy to zrobię - więc każde dalsze wyjaśnienie tego byłoby mile widziane.

Czy to w zasadzie mówi, że osoba, która podpisała tę wiadomość, nie spełnia reguł określonych w mojej trustdb?

$ gpg --update-trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u

Podczas...

$ gpg --edit-key 0xC2E36CC8
gpg (GnuPG) 1.4.5; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.


pub  1024D/C2E36CC8  created: 2001-10-15  expires: never       usage: SCA 
                     trust: marginal      validity: unknown
sub  2048g/2E52ED13  created: 2001-10-15  expires: never       usage: E   
[ unknown] (1). 17155x01

Zauważ, że tylko nieznacznie zaufałem kluczowi, jeśli w pełni mu ufam (czego nie mogę), czy problem zniknie?


Dodaj tag „gnupg”
guerda

Odpowiedzi:


18

Są tutaj dwa różne ostrzeżenia i myślę, że inni respondenci zakładają, że jedno jest spowodowane przez drugie.

Zakładam, że Twoim głównym zmartwieniem jest ostrzeżenie „wiadomość nie była chroniona integralnie”, ponieważ taki jest tytuł tego pytania. Wydaje się, że może to powodować kilka rzeczy, ale właśnie to napotkałem, gdy funkcja „ochrony MDC” GPG nie jest włączona. Nie wiem, co to oznacza, ale najwyraźniej jest to sprawdzenie integralności wiadomości, które dowodzi, że wiadomość nie została zmieniona.

Najwyraźniej ta funkcja jest domyślnie włączona, ale wyłącza się, jeśli któryś z klawiszy odbiorcy nie określi, że ją obsługuje. Właśnie dostałem ostrzeżenie po raz pierwszy, gdy dodałem nowego odbiorcę do pliku, który wcześniej szyfrowałem tylko dla siebie, prawdopodobnie dlatego, że nowy adresat nie powiedział, że obsługuje MDC.

Dostałem ostrzeżenie, aby odejść, dodając --force-mdcdo mojego polecenia GPG. Nie odkryłem jeszcze, czy to uniemożliwia nowemu odbiorcy odszyfrowanie wiadomości ...

Jestem prawie pewien, że drugie ostrzeżenie, że klucz nie jest zaufany, nie jest związane z ostrzeżeniem „brak ochrony integralności”.


3
MDC = kod wykrywający modyfikację
jjlin

MDC jest potrzebne tylko w przypadkach, gdy nie podpisujesz zaszyfrowanego pliku, ponieważ odbiorca może sprawdzić integralność pliku za pomocą podpisu nadawcy. Pamiętaj tylko o podpisaniu zaszyfrowanego pliku. Jednak w przypadku szyfrowania symetrycznego (przy użyciu haseł) zobacz Jak naprawić „OSTRZEŻENIE: wiadomość nie była chroniona integralności” podczas korzystania z szyfrowania symetrycznego GPG?
gertvdijk

@gertvdijk Dostałem wiadomość dotyczącą pliku, z którego korzystałem -s --symmetric, więc samo to nie pomaga. Działa jednak --force-mdc -s --symmetricszyfrowanie.
mirabilos

@mirabilos Hmm. Nie doświadczyłem tego. Jest to więc fałszywa wiadomość, ponieważ można zweryfikować integralność na podstawie podpisu.
gertvdijk

Hm, na pewno. Ale nawet wyświetlanie ostrzeżenia nie jest lepsze, więc dodanie --force-mdcpodczas używania -s --symmetricjest przydatne.
mirabilos

2

W gpg jeszcze nie „ufasz” nadawcy. Więc nawet jeśli pochodzi od twojego partnera @ cokolwiek, nie ustawiłeś poziomu zaufania w gpg do poziomu, jaki jest potrzebny, aby nie otrzymać tej wiadomości :)

Przynajmniej tak myślę; może się mylić Dokumenty GPG powinny jednak pomóc.


Myślałem w tym samym kierunku, ale aby to przetestować, tymczasowo zaufałem ich kluczowi „ostatecznie” i ponownie odszyfrowałem wiadomość - jednak ostrzeżenie się nie ruszyło. Byłem bardzo szczęśliwy przez sekundę tam :)
Darius

Interesujące… Więc teraz zgaduję, to ma coś wspólnego z faktem, że być może nie jest zarejestrowane na żadnym serwerze kluczy. Poddaję się jednak, zasugeruję dokumenty :) Przepraszamy.

0

To, co jedwabiście powiedział: nie ufasz nadawcy.

Może być jednak konieczne podpisanie klucza nadawcy.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.