[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Debian JP master SVN www commits (rev.675)



=======================================================
Repository: /org/svn.debian.or.jp/repos
  Revision: 675
  Commiter: henrich
      Date: 2008-05-24 21:15:49 +0900 (土, 24  5月 2008)
=======================================================
Log:

 - add how to verify gpg sign



=======================================================
Changed:

U   www/trunk/blosxom/data/openssl_problem_qanda.d

Modified: www/trunk/blosxom/data/openssl_problem_qanda.d
===================================================================
--- www/trunk/blosxom/data/openssl_problem_qanda.d	2008-05-24 08:18:14 UTC (rev 674)
+++ www/trunk/blosxom/data/openssl_problem_qanda.d	2008-05-24 12:15:49 UTC (rev 675)
@@ -26,8 +26,96 @@
 <p>
 これは perl で書かれたスクリプトで、perl が導入されている環境であれば OS / ディストリビューションを問わずに実行できます (Debian では 5.8.8 及び 5.10 にて動作が確認されています)。実行前のファイルの正当性の確認には <a href="http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc";>OpenPGP 署名</a>を確認してください。なお、このスクリプトは随時更新されていますので、適宜チェックしてください。</p>
 </dd>
+<dd>
+<p>ユーザが自分の authrized_keys に脆弱な鍵が含まれていないかをチェックした例</p>
+<pre>
+user@localhost:~$ perl dowkd.pl file ~/.ssh/authorized_keys 
+/home/user/.ssh/authorized_keys:1: weak key
+summary: keys found: 1, weak keys: 1</pre>
 
+<p>SSH サーバが脆弱なホスト鍵を利用していないかをリモートからチェックした例</p>
+<pre>
+user@localhost:~$ perl dowkd.pl host 192.168.100.100
+# 192.168.100.100 SSH-2.0-OpenSSH_4.3p2 Debian-9
+# 192.168.100.100 SSH-2.0-OpenSSH_4.3p2 Debian-9
+192.168.100.100: weak key
+192.168.100.100: weak key</pre></dd>
 
+
+<dt>Q: ダウンロードした Debian OpenSSL Weak Key Detector (dowkd) が正当なものであるかを確認したいのですが。</dt>
+<dd>
+<p>
+以下の様にして、正当性の確認が可能です。環境として PGP あるいは GPG が利用可能であることが必要となります (参考として、以下の作業は Debian sid 環境で確認を行っています)。</p>
+<ol>
+<li>セキュリティ勧告のメールの PGP 署名を確認
+<li>PGP 署名の ID が誰のものであるかを確認
+<li>PGP 鍵サーバから確認した ID の公開鍵を取得
+<li>dowkd.pl と署名ファイル dowkd.pl.gz.asc をダウンロードして同一ディレクトリに配置
+<li>署名を確認</ol></dd>
+
+<dd>
+<p>(1) まず、<a href="http://lists.debian.org/debian-security-announce/2008/msg00152.html";>今回のセキュリティ勧告のメール (DSA-1571)</a>にサインされている署名を確認します。</p>
+<p>セキュリティ勧告が流れる debian-security-announce@lists.debian.org は PGP 署名をされた特定のアドレスからのみ投稿可能なメーリングリストですので、Florian Weimer さんのメッセージはまず真正なものであろう、と判断できます。より確実にこれが Florian Weimer さんが書いたものである、という確認するために<a href="http://lists.debian.org/debian-security-announce/2008/msg00152.html";>該当のメール</a>をファイルとして保存して以下の確認をします。</p>
+<pre>
+$ gpg --verify \[SECURITY\]_\[DSA_1571-1\]_New_openssl_packages_fix_predictable_random_number_generator.txt 
+gpg: Signature made 2008年05月13日 21時03分24秒 JST using RSA key ID 02D524BE
+gpg: Can't check signature: public key not found</pre></dd>
+
+<dd>
+<p>
+(2) セキュリティ勧告が 02D524BE という ID の鍵で署名されている事が確認できましたので、その鍵を所持しているのが誰なのかを公開鍵サーバから検索します。</p>
+<pre>
+$ gpg --keyserver pgp.nic.ad.jp --search-keys 02D524BE
+gpg: searching for "02D524BE" from hkp server pgp.nic.ad.jp
+(1)	Florian Weimer (HIGH SECURITY KEY) <fw@xxxxxxxxxxxxx>
+	Florian Weimer (HIGH SECURITY KEY) <Weimer@xxxxxxxxxxxxxxxxxxxxx>
+	Florian Weimer (HIGH SECURITY KEY) <Florian.Weimer@xxxxxxxxxxxxxxxxxxx
+	Florian Weimer (HIGH SECURITY KEY) <fw@xxxxxxxxxxxxx>
+	Florian Weimer (HIGH SECURITY KEY) <Weimer@xxxxxxxxxxxxxxxxxxxxx>
+	Florian Weimer (HIGH SECURITY KEY) <Florian.Weimer@xxxxxxxxxxxxxxxxxxx
+	  2048 bit RSA key 02D524BE, created: 2002-03-19
+Enter number(s), N)ext, or Q)uit > Q</pre>
+<p>
+上記の様に Florian Weimer <fw@xxxxxxxxxxxxx> さんの鍵であることが確認できました。<a href="http://lists.debian.org/debian-security-announce/2008/msg00152.html";>DSA-1571</a>は Florian Weimer <fw@xxxxxxxxxxxxx> さん (02D524BE) が少なくとも署名したものです。</p></dd>
+
+<dd>
+<p>
+(3) 署名した鍵の確認ができたので、Florian Weimer さんの公開鍵 (02D524BE) を公開鍵サーバから取得します。</p>
+<pre>
+$ gpg --keyserver pgp.nic.ad.jp --recv-keys 02D524BE
+gpg: requesting key 02D524BE from hkp server pgp.nic.ad.jp
+gpg: key 02D524BE: duplicated user ID detected - merged
+gpg: key 02D524BE: public key "Florian Weimer (HIGH SECURITY KEY) <fw@xxxxxxxxxxxxx>" imported
+gpg: 3 marginal(s) needed, 1 complete(s) needed, classic trust model
+gpg: depth: 0  valid:   1  signed:  11  trust: 0-, 0q, 0n, 0m, 0f, 1u
+gpg: depth: 1  valid:  11  signed:  12  trust: 2-, 0q, 0n, 5m, 4f, 0u
+gpg: depth: 2  valid:  10  signed:   5  trust: 10-, 0q, 0n, 0m, 0f, 0u
+gpg: Total number processed: 1
+gpg:               imported: 1  (RSA: 1)
+</pre></dd>
+
+
+<dd>
+<p>(4) dowkd.pl と dowkd.plについて署名されたファイルを取得します。</p>
+<pre>
+$ wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
+$ wget http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc</pre></dd>
+
+<dd>
+<p>(5) 先ほどファイルを取得したディレクトリで dowkd.pl についての署名を確認します。</p>
+<pre>
+$ gpg --verify dowkd.pl.gz.asc
+gpg: Signature made 2008年05月23日 05時39分49秒 JST using RSA key ID 02D524BE
+gpg: Good signature from "Florian Weimer (HIGH SECURITY KEY) <fw@xxxxxxxxxxxxx>"
+gpg: WARNING: This key is not certified with a trusted signature!
+gpg:          There is no indication that the signature belongs to the owner.
+Primary key fingerprint: C8D3 D9CF FA9E 7056 3F32  FA54 BF7B FF04 02D5 24BE</pre>
+<p>
+Good signature from "Florian Weimer (HIGH SECURITY KEY) <fw@xxxxxxxxxxxxx>" とあるので、OpenSSL のセキュリティ勧告メールを流した Florian Weimer さんが、dowkd.pl についても署名をしたことが確認できました。</p>
+<p>
+なお、この場合 WARNING が出ているのは、自身が所有しているデータの中では「信用の輪(web of trust)」の中に含まれていない鍵であることを意味しています。この鍵が真正に Florian Weimer さんのものであることを信用するかについては、鍵交換などを実施していくか、<a href="http://pgp.nic.ad.jp/pks/lookup?op=vindex&search=0x02D524BE";>その鍵に署名している他の人のリスト</a>などから別途確認ください。</p></dd>
+
+
 <dt>Q:SSL の証明書も問題になるのですか?確認の仕方が知りたいのですが</dt>
 <dd>
 <p>