#couchdb #couchdb-3.x
#couchdb #couchdb-3.x
Вопрос:
Я только что перешел к https://couchdb.apache.org / чтобы получить последнюю версию двоичного файла CouchDB (обновление с 2.2).
Однако ссылка для скачивания перенаправляет меня в организацию под названием Neighbourhoodie — консалтинговую фирму CouchDB services amp; consultancy (что было неожиданно, но понятно, поскольку я знаю, что установки могут обслуживаться с зеркал).
Когда я запустил установщик, я получил предупреждение от Windows о том, что двоичный файл принадлежит «Неизвестному издателю».
Я не могу найти контактное лицо на сайте CouchDB, чтобы задать подобный вопрос.
Неожиданное перенаправление в сочетании с неизвестным издателем заставило меня нервничать — как я могу знать, что безопасно продолжить обновление?
Ответ №1:
Вы можете убедиться, что участники couchdb, которые подписывают общедоступные выпуски, считают, что этот двоичный файл подходит для пользователей Windows, сравнив суммы site, sha1 и md5, которые они указали в выпуске. Ни sha1, ни md5 сами по себе не являются безопасными, но я думаю, что было бы чрезвычайно сложно найти атаку, которая одновременно работает для обоих.
Кроме того, если вы загружаете подпись gpg, двоичный файл иhttps://downloads.apache.org/couchdb/KEYS вы можете убедиться, что этот подписывающий является тем же подписывающим лицом, используя тот же ключ, который распознается на сайте загрузки apache. Использование их доверия похоже на tofu, вы доверяете каналу с https, и он доверяет этому ключу, так что теперь вы доверяете ключу на другом канале.
В Linux / Mac это выглядит так:
(verify you obtain keys over ssl from apache, then:)
$ gpg --import KEYS.txt
...
gpg: key CDE711289384AE37: "**** (CODE SIGNING KEY) <****@apache.org>"
(download a sig and file from official downloads.apache.org site and verify add your "tofu" trust in this key)
$ gpg --trusted-key CDE711289384AE37 --verify apache-couchdb-3.1.1.tar.gz.asc
(your gpg now trusts this key for new binaries)
$ gpg --verify apache-couchdb-3.1.0.msi.asc
(If the official KEYS file changes you would want to delete this trust and do the same process again:)
$ gpg --delete-key CDE711289384AE37
и Windows gpg должны выглядеть аналогично, возможно, с / вместо -- и т.д.
Комментарии:
1. Спасибо @lossleader за четкое описание того, что нужно делать (более четкое, чем то, что я позже нашел на сайте Apache). Хэши совпадают, и GPG говорит, что ключ хорош, что немного рассеивает мои сомнения, но GPG сообщает, что «Этот ключ не сертифицирован с надежной подписью. Нет никаких указаний на то, что подпись принадлежит владельцу «. Есть мысли?
2. @BobGear это потому, что невозможно установить полную сеть доверия, как предпочитает gpg. Я обновил ответ, чтобы объяснить, как вы устанавливаете доверие tofu к ключу из официального канала и делаете его явным для проверки будущих подписей.
3. Для других пользователей Windows, которые попадают сюда, сайт gnupg предлагает GPG4Win ( gpg4win.org/download.html ). Инструкции, изложенные выше @lossleader, работают в командной строке как есть (я обнаружил, что с командной строкой работать проще, чем с графическим интерфейсом). Интересно, почему Apache не подписывает файл .msi, чтобы Windows приняла его без жалоб.