onion onion

PGP podpisy a overovanie

Sťahovať súbory iba z overených zdrojov nemusí vždy stačiť (sieťové útoky atď.). Dôležité je pred ich použitím overiť integritu, či neboli modifikované alebo nepochádzajú od útočníka. K tomuto účelu sa hodia napríklad odtlačky - hash funkcie (MD5, SHA1, SHA256...), potom stačí iba vypočítať hash stiahnutého súboru a porovnať ho s tým, ktorý je uverejnený na stránke odkiaľ ste ho stiahli, prípadne môže byť hash v textovom súbore. Takto integritu síce overíte, ale nemáte istotu, že súbory pochádzajú naozaj z legitimného zdroja - útočník môže šíriť modifikovaný súbor spolu s novým hashom. Tento problém riešia PGP signatúry (podpisy) a ich overenie rozhodne NEPODCEŇUJTE!.
Nasledujúci obsah sa týka hlavne overovania signatúr konkrétnych súborov - TBB, TailsOS, Tor (tarball a expert bundle) a Whonix s použitím nástroja GnuPrivacy Guard - GPG, pričom postup platí aj pre Windows aj pre Linux.

Inštalácia - gpg je súčasťou každej linuxovej distribúcie, pre Windows je nutné nainštalovať gpg4win.


Obsah:
  1. Vytvorenie vlastného podpisu a overenie
  2. TBB
  3. Tails
  4. Tor (tarball)
  5. Tor (Expert bundle)
  6. Whonix
  7. Kleopatra - grafické prostredie

Vytvorenie vlastného podpisu a overenie

Tak ako pri podpise emailu aj pri podpise súborov je nutné vlastniť súkromý kľúč, zoznam importovaných zistíme príkazom: 

gpg --list-secret-keys

sec   rsa4096 2018-01-18 [SCA] [expires: 2023-01-17]
      01B05863B3954AD4A44F4D4D1D25C0ABC57BCA8F
uid           [ unknown] blackonion@cadamail.com 
ssb   rsa4096 2018-01-18 [E] [expires: 2023-01-17]

#v príklade použijeme náš kľúč
Samotný podpis vytvoríme príkazom: 
gpg --sign data.img --default-key blackonion@cadamail.com

#data.img - podpísané dáta, ak neurčíme kľúč voľbou --default-key,
#použije sa prvý v zozname, po príkaze budeme vyzvaní zadať heslo

ls
data.img 	      #pôvodné dáta
data.img.gpg 	#podpísané dáta
Overenie (verifikácia):
pozn. pri overení je nutné mať importovaný verejný kľúč osoby, ktorá dáta podpísala, v tomto prípade náš. 
gpg --list-public-keys

pub   rsa4096 2018-01-18 [SCA] [expires: 2023-01-17]
      01B05863B3954AD4A44F4D4D1D25C0ABC57BCA8F
uid           [ unknown] blackonion@cadamail.com 
sub   rsa4096 2018-01-18 [E] [expires: 2023-01-17]
Potom stačí zadať: 
gpg --verify data.img.gpg
Ak je verifikácia úspešná, vo výstupe sa objaví:
Good signature from "blackonion@cadamail.com "
Ak sa vo výstupe zobrazí upozornenie, znamená to iba, že daný kľúč nie je označený ako dôveryhodný. 
WARNING: This key is not certified with a trusted signature!
         There is no indication that the signature belongs to the owner.
Riešenie: 

gpg --edit-key blackonion@cadamail.com
gpg> trust	

#zadajte stupeň dôveryhodnosti 1-5

Your decision? 5
gpg> quit
Upozornenie sa nebude objavovať pri hodnote 5 (trust ultimately).

Neúspešna verifikácia:

BAD signature from "blackonion@cadamail.com
Ak verifikácia zlyhá, súbory zahoďte a v žiadnom prípade nepoužívajte!!!

Signatúra v osobitnom súbore:
gpg --detach-sig --default-key blackonion@cadamail.com data.img
ls
data.img 
data.img.sig	#signatúra
Overenie: 
gpg --verify data.img.sig data.img
#prvý v poradí je súbor so signatúrou

TBB

Najprv stiahnite kľúče vývojárov, ktorí podpisujú TBB, nachádzajú sa stránke torproject do príkazového riadku alebo terminálu zadajte: 
gpg --keyserver pool.sks-keyservers.net --recv-key 0x93298290	#ID potrebného kľúča
Samotnú signatúru nájdete pri TBB:

TBB signature 

gpg --verify tor-browser.sig  tor-browser

TailsOS

Stiahnite podpisovací kľúč Tails vývojárov v sekcií Verify using OpenPGP:

Tails Signing key

do príkazového riadku/terminalu zadajte: 
gpg --import tails-signing.key
Stiahnite podpis, ak ste Tails stiahli ako torrent, mal by byť spolu s obrazom (ISO) a vykonajte postup ako pri TBB: 
gpg --verify tails-amd64-[verzia].iso.sig tails-amd64-[verzia].iso
Overenie cez prehliadač:

TailsVerify je doplnok pre Firefox a Chrome ktorý po stiahnutí .iso súbor overí:

Tails verify extension

Tarball so zdrojákmi

Stiahnite kľúče vývojárov, ktorí podpisujú tarball, postup je rovnaký ako pri importe kľúčov pre TBB, taktiež ich nájdete na stránke torproject. Podpis sa taktiež nachádza pod tlačídlom pre stiahnutie - (sig). 

gpg --verify tor[verzia].tar.gz.asc tor[verzia].tar.gz

Tor Expert Bundle

Ak ste overovali signatúru TBB, nemusíte podpisovací kľúč sťahovať. 
gpg --verify tor[verzia].zip.sig tor[verzia].zip

Whonix (Vbox obrazy)

Signatúry a kľúč nájdeme taktiež na oficiálnej stránke.

Whonix signature 

gpg --import [key]			#pravdepodobne patrick.asc al. ego.asc
gpg --verify Whonix-Gateway.ova.asc Whonix-Gateway.ova
gpg --verify Whonix-Workstation.ova.asc Whonix-Workstation.ova

Grafické prostredie - Kleopatra (Windows/Linux)

Spustite Kleopatru a zvoľte File -> Decrypt/Verify files... Vyberte súbor so signatúrou a zaškrtnite ,,file is detached signature", potom vyberte podpísané dáta a zvoľte decrypt/verify.

kleo