Валидность .sig ключа

Опубликовано utyf в 17 Август, 2009 - 15:09

На страничке слива потребителям http://truecrypt.org.ua/downloads есть замечание: Перед установкой обязательно проверяйте подпись пакета. Там же выложены .sig файлы для проверки скачанного.
Во первых не все знают что это такое, во вторых ссылки на сам PGP ключ нет.

По адресу http://www.pgpru.com/forum/prakticheskajabezopasnostj/truecrypt?show_com...
выяснилось, что ключ живет по ссылке. http://www.truecrypt.org/downloads на англоязычном сайте.
И чего бы эту ссылку не разместить на этом сайте?. Ведь это русскоязычный вариант того же сайта.

Далее после проверки ключа получил :

gpg: Подпись создана Пнд 15 Июн 2009 19:42:40 ALMT ключом DSA с ID F0D6B1E0
gpg: Действительная подпись от "TrueCrypt Foundation "
gpg: ВНИМАНИЕ: Данный ключ не заверен доверенной подписью!
gpg: Нет указаний на то, что подпись принадлежит владельцу.
Отпечаток главного ключа: C5F4 BAC4 A7B2 2DB8 B8F8 5538 E3BA 73CA F0D6 B1E0

Хотелось бы знать, - это я ошибся, или команда не заверила сертификат, или это подмена, или что-то еще?

‹ TrueCrypt - свободное? доступна новая тема оформления сайта ›
»

действительно, можно запутаться

Опубликовано delmax в 20 Август, 2009 - 11:09.

тут дело в другом. На англоязычном сайте написано, что перед проверкой нужно подписать публичную подпись своей подписью (собственно то, что Вам и написал gpg). Собственно это логика работы открытых/закрытых ключей. Прежде чем проверять сам пакет, Вы должны подписать своим секретным ключом, что доверяете той публичной подписи (TrueCrypt Foundation).
ранее обсуждалось http://truecrypt.org.ua/node/191