V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  sunjourney  ›  全部回复第 39 页 / 共 58 页
回复总数  1143
1 ... 35  36  37  38  39  40  41  42  43  44 ... 58  
2016-04-25 16:12:28 +08:00
回复了 sunjourney 创建的主题 GitHub github 公开 ssh 公钥,为何不一并公布 gpg 公钥?
@julyclyde pub key 没有 userID 啊,何来泄密? 不过就在刚才,我想通了,应该是应对这种情形, github 才不提供 gpg 公钥: github 帐号被攻破了!

假设 github 提供 gpg 公钥发布, faker 拿的 github 提交了 commit , 打上了 tag ,但他没法使用 owner 的签名,但可以上传自己的 公钥!其它正常使用者本来用真正 owner 的 pubkey 验证的,不能通过验证时可能会以为公钥过期,又会到 github 上拿 owner 的 pubkey ,正中 faker 下怀!

亏我专门还去 github 官方询问这事,糗大了。 感谢所有参与讨论者。我的想法如果再有误,欢迎继续讨论。
2016-04-25 15:44:05 +08:00
回复了 sunjourney 创建的主题 GitHub github 公开 ssh 公钥,为何不一并公布 gpg 公钥?
@julyclyde 那上传 fake ssh pubkey 也会有人做, github 不是防不了
2016-04-25 14:47:25 +08:00
回复了 sunjourney 创建的主题 GitHub github 公开 ssh 公钥,为何不一并公布 gpg 公钥?
@julyclyde 上传别人的 key 不说 github 不会给你的 commit 验证通过,别人拿了你的 key 也干不了什么,因此并没有上传 fake key 的意义不是?
@oott123 你的说法可能是真相了,很长时间没看 profile setting 页面,上传 gpg key 也是最近才发现,可能这确实是新增的功能
2016-04-25 11:18:53 +08:00
回复了 sunjourney 创建的主题 GitHub github 公开 ssh 公钥,为何不一并公布 gpg 公钥?
@julyclyde 如何理解?我认为使用 gpg 公钥只要解决好分发公钥与权威认证这两个问题就可以了, github 刚好可以代劳,而且它已经公布了 ssh 公钥, 再加上 gpg 也不是问题。除非里面有什么有说服力的考量,代公布 ssh 而代不公布 gpg 。 如果有这个考量,这就是我想知道的答案。
2016-04-25 09:30:43 +08:00
回复了 sunjourney 创建的主题 GitHub github 公开 ssh 公钥,为何不一并公布 gpg 公钥?
@msg7086 github 利用他的权威性发布 gpg 公钥好处是不言喻的,其它人获取公钥的时候可以不用指纹,也不用知道他的 keyid ,这两步实现本来就是很麻烦的
2016-04-25 08:36:47 +08:00
回复了 sunjourney 创建的主题 GitHub github 公开 ssh 公钥,为何不一并公布 gpg 公钥?
@dndx 怎么发布呢?
2016-04-25 08:35:49 +08:00
回复了 sunjourney 创建的主题 GitHub github 公开 ssh 公钥,为何不一并公布 gpg 公钥?
@dndx 指纹和 key id 怎么呢?
2016-04-25 02:30:50 +08:00
回复了 sunjourney 创建的主题 GitHub github 公开 ssh 公钥,为何不一并公布 gpg 公钥?
@msg7086 其它人用 github 上那个链接,可以免指纹了不是,何况不是所有人都传 gpg 服务器的
2016-04-24 21:13:51 +08:00
回复了 z742364692 创建的主题 机械键盘 求推荐 60%键盘
hhkb pro type s , 不过蓝牙款要出了,不知会不会有静音版
2016-04-24 21:11:32 +08:00
回复了 wangleineo 创建的主题 问与答 V 站还有没关注这个公众号的吗?
吃相太不好啊, b 了
2016-04-24 12:44:51 +08:00
回复了 imSam 创建的主题 设计 大家都在秀简历吗?我也来一发,献丑了。
功力很深,联系方式都出来估计很快有人来挖你了
2016-04-24 11:22:49 +08:00
回复了 lua 创建的主题 git git 无法一次性 add / commit 大量文件?
这么多文件真的是项目文件吗?什么东西的源码会这样?编译后的东西不要同步了好吧?
2016-04-22 18:18:26 +08:00
回复了 http2 创建的主题 旅行 北京周边,求技术团队 出游的地方, 30 人左右
周末出游发工资吗?
2016-04-20 16:58:28 +08:00
回复了 saxon 创建的主题 职场话题 面试失败,回家考公....
@Rorysky 先去实习,过了转正似乎是保证的,这个可以自己去了解。现在银行都要先声名户口不保证的,有个机会就去试试吧
@AstroProfundis 嗯,觉得是个烂设计,已经在 pro git 的 repo 上发 issue 去 讨论了,看看有没有什么玄机是我没看出来的。 pro git 这么不 pro ,有点怀疑自己也怀疑作者了
@AstroProfundis pro git 提供这样自验证的方案,一点也不 pro 。
2016-04-20 10:52:53 +08:00
回复了 djyde 创建的主题 分享创造 Vue T 恤再发起众筹,这次有你们想要的白色版本
email 了,没回复啊
@shiji @AstroProfundis 我提出的问题是 git-scm 设计的分发方式没有解决公钥分发方式,过度设计,还是得依靠 CA 、网站等。伪造者如果只能伪造内容,或是 hack 网站,只能实现其一,内容都是安全的。但 hacker 在 hack 到了你的机器,提交了假的内容并用他的的 gpg 签名,同时用 git-scm 的方式发布他的公钥,其它人 pull 下来的就是伪造的了。

1 ,如果网站有公钥且网站没有被 hack ,其它人可以比对破之,但既然要比对,那我为何不就信任网站的公钥呢?见 2 。
2 ,在 1 的前提下,网站既然可以发布公钥,使用者就没必要用 git-scm 的方法获取公钥了,因为网站公钥必然是有效的(网站与机器分离,网站就算被 hack ,假公钥也不能通过验证),只看网站即可。

第二问题是我搞错了,已明白理解,感谢!
@AstroProfundis 你的意思是:使用者要保证安全,还是要在 site 上看公钥,再看 tag 里的公钥,两个一致的情况下还是伪造的可能性只有 site 被 hack , git 被恶意提交了,发生这样事情的概率要很低?

可如果 签名没有被 fake ,发布者在 site 上伪造 pubkey 的意义一点都没有。 git-scm 上的问题在于,公钥和内容都用 git pull 下来,没有分开。
@BOYPT 第二个问题取消,我弄错了, private key 是加密的,我之前以为是未加密的,第一个问题是 git-scm 提供的一个分发设计,原理是把 pubkey 放到一个有 annotate 的 git tag 下,传到 remote 上, 使用者只要 git show 一下这个 tag 的 annotate ,就知道 gpg pubkey 了,实现分发
1 ... 35  36  37  38  39  40  41  42  43  44 ... 58  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2578 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 39ms · UTC 07:20 · PVG 15:20 · LAX 23:20 · JFK 02:20
Developed with CodeLauncher
♥ Do have faith in what you're doing.