translated files for the we...
Runa A. Sandvik authored 14 years ago
|
1)
2)
3)
4)
5)
6)
7) ## translation metadata
8) # Revision: $Revision$
9) # Translation-Priority: 2-medium
10) #include "head.wmi" TITLE="Verifying Signatures" CHARSET="UTF-8"
11) <div class="main-column">
12)
13) <h2>Как верифицировать подписи установочных пакетов</h2>
14) <hr />
15)
16) <p>Каждый файл на <a href="<page download>">нашей странице загрузок</a>
17) сопровождается файлом с аналогичным именем и с расширением ".asc".
18) Например, актуальная версия Установочного Пакета для ОС Windows:
19) <package-win32-bundle-stable-sig>.</p>
20)
21) <p>Эти .asc файлы являются подписями PGP. Они позволяют верифицировать
22) скаченный вами файл, то есть определить скачали ли вы то, что хотели.</p>
23)
24) <p>Конечно, вам придется добавить наши pgp ключи в ваш набор ключей: если вы не
25) имеете ключ pgp, вы не можете быть уверенны, что это мы, а не кто-то другой,
26) подписали этот файл. Ниже приведен список ключей, которые мы используем для
27) подписей:</p>
28) <ul>
29) <li>Ключ Роджера (0x28988BF5) обычно подписывает файлы с исходным кодом.</li>
30) <li>Ключ Ника (0x165733EA, и его дополнительный ключ 0x8D29319A)</li>
31) <li>Ключ Эндрю (0x31B0974B)</li>
32) <li>Ключ Петера (0x94C09C7F, и его дополнительный ключ 0xAFA44BDD)</li>
33) <li>Ключ Мэтта (0x5FA14861)</li>
34) <li>Ключ Якоба (0x9D0FACE4)</li>
|
|
translated files for the we...
Runa A. Sandvik authored 14 years ago
|
36) </ul>
37)
38) <h3>Шаг первый: Импорт ключей</h3>
39) <hr />
40) <p>Вы можете напрямую импортировать ключи в GnuPG:</p>
41)
42) <pre>gpg --keyserver subkeys.pgp.net --recv-keys 0x28988BF5 (получить ключи 0x28988BF5 на сервере subkeys.pgp.net)</pre>
43)
44) <p>или искать ключи</p>
45)
46) <pre>gpg --keyserver subkeys.pgp.net --search-keys 0x28988BF5 (искать ключи subkeys.pgp.net на сервере subkeys.pgp.net)</pre>
47)
48) <p>и когда вы выберете один, он будет добавлен к вашему набору ключей.</p>
49)
50) <h3>Шаг второй: Верификация отпечатков</h3>
51) <hr />
52) <p>Проверьте pgp отпечатки, используя:</p>
53) <pre>gpg --fingerprint (сюда вставьте идентификационный ключ - keyid)</pre>
54) Отпечатки для ключей должны быть такими:
55)
56) <pre>
57) pub 1024D/28988BF5 2000-02-27
58) Key fingerprint = B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5
59) uid Roger Dingledine <arma@mit.edu>
60)
61) pub 3072R/165733EA 2004-07-03
62) Key fingerprint = B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EA
63) uid Nick Mathewson <nickm@alum.mit.edu>
64) uid Nick Mathewson <nickm@wangafu.net>
65) uid Nick Mathewson <nickm@freehaven.net>
66)
67) pub 1024D/31B0974B 2003-07-17
68) Key fingerprint = 0295 9AA7 190A B9E9 027E 0736 3B9D 093F 31B0 974B
69) uid Andrew Lewman (phobos) <phobos@rootme.org>
70) uid Andrew Lewman <andrew@lewman.com>
71) uid Andrew Lewman <andrew@torproject.org>
72) sub 4096g/B77F95F7 2003-07-17
73)
74) pub 1024D/94C09C7F 1999-11-10
75) Key fingerprint = 5B00 C96D 5D54 AEE1 206B AF84 DE7A AF6E 94C0 9C7F
76) uid Peter Palfrader
77) uid Peter Palfrader <peter@palfrader.org>
78) uid Peter Palfrader <weasel@debian.org>
79)
80) pub 1024D/5FA14861 2005-08-17
81) Key fingerprint = 9467 294A 9985 3C9C 65CB 141D AF7E 0E43 5FA1 4861
82) uid Matt Edman <edmanm@rpi.edu>
83) uid Matt Edman <Matt_Edman@baylor.edu>
84) uid Matt Edman <edmanm2@cs.rpi.edu>
85) sub 4096g/EA654E59 2005-08-17
86)
87) pub 1024D/9D0FACE4 2008-03-11 [expires: 2010-03-11]
88) Key fingerprint = 12E4 04FF D3C9 31F9 3405 2D06 B884 1A91 9D0F ACE4
89) uid Jacob Appelbaum <jacob@appelbaum.net>
90) sub 4096g/D5E87583 2008-03-11 [expires: 2010-03-11]
|
|
translated files for the we...
Runa A. Sandvik authored 14 years ago
|
104) </pre>
105)
106) <p>(Конечно, если вы хотите действительно удостовериться, что они настоящие,
107) вам нужно проверить это в нескольких местах или даже вплотную заняться
108) ключами подписей и выстроить достоверный маршрут (trust path) к этим
109) ключам.)</p>
110)
111) <h3>Шаг третий: Верификация скаченного установочного пакета</h3>
112) <hr />
113) <p>Если вы используете GnuPG, тогда скопируйте .asc и скаченный файл в одну
114) папку и введите "gpg --verify (whatever).asc (whatever)". В ответ программа
115) выдаст что-то вроде "Хорошая подпись" (Good signature) или "Плохая подпись"
116) (BAD signature), по следующему образцу:</p>
117)
118) <pre>
119) gpg --verify tor-0.1.0.17.tar.gz.asc tor-0.1.0.17.tar.gz
120) (верификация Tor версии) gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5
121) (подписано, дата, время... с использованием идентификационного ключа)gpg: Good signature from "Roger Dingledine <arma@mit.edu>"
122) (Хорошая подпись Роджера Динглдайна)gpg: aka "Roger Dingledine <arma@mit.edu>"
123) (ака: ...)gpg: WARNING: This key is not certified with a trusted signature!
124) (ПРЕДУПРЕЖДЕНИЕ: Этот ключ не сертифицирован достоверной подписью)gpg: There is no indication that the signature belongs to the owner.
125) (Нет указаний на то, что подпись принадлежит владельцу)Primary key fingerprint: B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5
126) (Первичный отпечаток ключа)</pre>
127)
128) <p>
129) Обратите внимание на то, что вышло предупреждение, так как вы не приписали
130) этому пользователю доверенный индекс. Это означает, что ваша программа
131) верифицировала ключ, которым была сделана подпись. Пользователь должен
132) самостоятельно решить, принадлежит ли этот ключ разработчикам. Для этого
133) лучше всего встретиться с ними лично и обменяться отпечатками pgp. Ключи
134) тоже могут быть подписаны. Если вы просмотрите на ключи Роджера или Ника,
135) другие люди отметили их как "мы проверили, это Роджер/Ник". Так что если вы
136) доверяете этой третьей стороне, тогда у вас есть определенное доверие к
137) этому нику.
138) </p>
139)
140) <p>Это означает, что вы можете либо проигнорировать это сообщение, либо указать
141) уровень доверия.</p>
142)
143) <p>Для вашей справки, это пример <em>ПЛОХОЙ</em> верификации. Приведенные ниже
144) данные означают, что подпись и содержание файла не соответствуют:</p>
145)
146) <pre>
147) gpg --verify tor-0.1.0.17.tar.gz.asc
148) (верификация Tor версии...)gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5
149) (Подписано, дата, время... с использованием ключа...)gpg: BAD signature from "Roger Dingledine <arma@mit.edu>"
150) (ПЛОХАЯ подпись...)</pre>
151)
152) <p>Если вы видите сообщение аналогичное вышеприведенному, вам не стоит доверять
153) содержимому файла.</p>
154)
155) <p>Если вы используете Tor в системе Debian вам стоит прочитать инструкции по<a
156) href="<page docs/debian>#packages">правильному импорту этих ключей</a>.</p>
157)
158) </div>
159)
160)
|
translated files for the we...