gpg: AVERTISSEMENT: le message n'était pas protégé contre l'intégrité

14

Je suis un peu confus quant à ce que cela signifie.

Ce qui s'est passé, c'est que quelqu'un a chiffré un message pour moi à l'aide de ma clé publique et l'a signé avec sa clé privée - comme d'habitude.

Ensuite, je déchiffre le message ...

-bash-3.2$ gpg --decrypt /tmp/det_prod_cred.txt.asc 
gpg: encrypted with 2048-bit ELG-E key, ID 2E52ED13, created 2001-10-15
      "XXXXXXX1"
gpg: encrypted with 4096-bit RSA key, ID 0BB096A1, created 2009-08-12
      "XXXXXXX2"
username = XXXXXXXXXX3  
password = XXXXXXXXXX4
gpg: Signature made Wed 12 Aug 2009 15:47:17 EST using DSA key ID C2E36CC8
gpg: Good signature from "17155x01"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 826A E10D 8AAB 49A0 E9B6  0478 3A70 240F C2E3 6CC8
gpg: WARNING: message was not integrity protected

... Je sais que le message est verbeux et je devrais probablement comprendre à quoi il sert - mais je ne suis pas sûr de le faire - donc toute autre explication à ce sujet serait appréciée.

Est-ce à dire que la personne qui a signé ce message ne passe pas les règles définies dans ma trustdb?

$ gpg --update-trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u

Tandis que...

$ gpg --edit-key 0xC2E36CC8
gpg (GnuPG) 1.4.5; Copyright (C) 2006 Free Software Foundation, Inc.
This program comes with ABSOLUTELY NO WARRANTY.
This is free software, and you are welcome to redistribute it
under certain conditions. See the file COPYING for details.


pub  1024D/C2E36CC8  created: 2001-10-15  expires: never       usage: SCA 
                     trust: marginal      validity: unknown
sub  2048g/2E52ED13  created: 2001-10-15  expires: never       usage: E   
[ unknown] (1). 17155x01

Remarquez que je n'ai que peu confiance à la clé, si je lui fais entièrement confiance (ce que je ne peux pas), le problème disparaîtra-t-il?

gnupg 
Darius
source
Veuillez ajouter le tag "gnupg"
guerda

Réponses:

18

Il y a deux avertissements différents ici, et je pense que les autres intervenants supposent que l'un est causé par l'autre.

Je suppose que l'avertissement "le message n'était pas protégé contre l'intégrité" est votre principale préoccupation, car c'est le titre de cette question. Il peut y avoir plusieurs choses qui peuvent provoquer cela, mais celle que je viens de rencontrer est lorsque la fonctionnalité de «protection MDC» de GPG n'est pas activée. Je ne sais pas ce que cela signifie, mais apparemment, c'est une vérification d'intégrité du message qui prouve que le message n'a pas été falsifié.

Apparemment, cette fonctionnalité est activée par défaut, mais est désactivée si l'une des clés de destinataire ne spécifie pas qu'elle la prend en charge. J'ai donc reçu cet avertissement pour la première fois lors de l'ajout d'un nouveau destinataire à un fichier que je n'avais précédemment crypté que pour moi-même, probablement parce que le nouveau destinataire n'a pas dit qu'il supportait MDC.

J'ai reçu l'avertissement de partir en ajoutant --force-mdcà ma commande GPG. Je n'ai pas encore découvert si cela empêche le nouveau destinataire de décrypter le message ...

Je suis à peu près sûr que l'autre avertissement, concernant la clé qui n'est pas approuvée, n'est pas lié à l'avertissement "non protégé en intégrité".

Sam Stokes
source
3
MDC = Code de détection de modification
jjlin
MDC n'est nécessaire que dans les cas où vous ne signez pas le fichier crypté, car le destinataire peut vérifier l'intégrité du fichier par la signature de l'expéditeur. Assurez-vous donc de signer le fichier crypté. Cependant, pour le chiffrement symétrique (à l'aide de phrases secrètes), voir Comment puis-je corriger «AVERTISSEMENT: le message n'a pas été protégé contre l'intégrité» lors de l'utilisation du chiffrement symétrique GPG?
gertvdijk
@gertvdijk J'ai reçu le message pour un fichier que j'ai utilisé -s --symmetric, donc cela seul n'aide pas. --force-mdc -s --symmetricCependant, l' utilisation du cryptage a fonctionné.
mirabilos
@mirabilos Hmm. Je n'ai pas vécu ça. Il s'agit alors d'un faux message de toute façon car on peut valider l'intégrité sur la base de la signature.
gertvdijk
Hm bien sûr. Mais ne pas même montrer l'avertissement est mieux, donc l'ajout --force-mdclors de l'utilisation -s --symmetricest utile.
mirabilos
2

En gpg, vous ne faites pas encore confiance à l'expéditeur. Donc, même si cela vient de yourmate @ quoique ce soit, vous n'avez pas défini leur niveau de confiance dans gpg à ce qu'il doit être pour ne pas recevoir ce message :)

C'est du moins ce que je pense; pourrait être faux. Les documents GPG devraient cependant vous aider.

Noon Silk
source
Je pensais dans le même sens, mais pour tester cela, j'ai temporairement fait confiance à leur clé "en fin de compte", et j'ai à nouveau décrypté le message - mais l'avertissement n'a pas bougé. J'étais très optimiste pour une seconde là-bas :)
Darius
Intéressant .... Alors, maintenant je suppose, cela a quelque chose à voir avec le fait qu'il n'est peut-être pas enregistré sur les serveurs de clés. J'abandonne cependant, je suggère les documents :) Désolé.
0

Quel soyeux dit: vous ne faites pas confiance à l'expéditeur.

Cependant, vous devrez peut-être également signer la clé de l'expéditeur.

Broam
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.