Tails 正在轉換到一個新的 OpenPGP 簽名密鑰。

這個簽名密鑰是我們使用的密鑰:

  • 簽署我們正式的 ISO 映像檔。
  • 驗證另一個專案所用的 OpenPGP 密鑰

之前的宓鑰依然安全,而據我們所知, 它並沒有遭到破壞。

我們推動這項改變是為了改善我們的安全實踐,尤其當 操作這些重要的資料。

  • 舊的密鑰仍可用來驗證 Tails 1.3 的映像檔。
  • 新的簽名密鑰則是用來簽署 Tails 1.3.1 之後的映像檔。
  1. Import and verify the new signing key
  2. Security policy for the new signing key
  3. Web-of-Trust with the Debian keyring

Import and verify the new signing key

點擊下方的按鈕以下載和滙入新的簽名密鑰:

新的 Tails 簽名密鑰

這個新簽名密鑰本身也被舊密鑰簽名,所以如果你已信仕任過舊的簽名密鑰則可以轉換信任這個新密鑰。

要驗證這個新密鑰是否正確地由舊密鑰所簽名,你可以執行以下指令:

gpg --check-sigs A490D0F4D311A4153E2BB7CADBB802B258ACD84F

輸出應包括由舊密鑰對新密鑰的簽名:

sig!         0x1202821CBE2CD9C1 2015-01-19  Tails developers (signing key) <tails@boum.org>

在此輸出結果中,查驗的狀態是直接由旗誌接續著"sig" tag. A "!"來顯示其簽署已成功地認證。

Security policy for the new signing key

這裏有關於新簽名密鑰的完整描述:

    pub   4096R/0xDBB802B258ACD84F 2015-01-18 [expires: 2017-01-11]
          Key fingerprint = A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F
    uid                 [ unknown] Tails developers (offline long-term identity key) 
    uid                 [ unknown] Tails developers 
    sub   4096R/0x98FEC6BC752A3DB6 2015-01-18 [expires: 2017-01-11]
    sub   4096R/0x3C83DCB52F699C56 2015-01-18 [expires: 2017-01-11]

你可以看到它有:

  • 主要密鑰(marked as pub) ID 0xDBB802B258ACD84F. 這個主要密鑰:

    • Is not owned in a usable format by any single individual. It is split cryptographically using gfshare.
    • 只用於離線,在一個完全不接觸網路的 Tails 環境。
    • 不到一年到期,我們會展延它的有效性只要覺得有足夠理由。

  • 二支 subkeys (marked as sub) 其 IDs 0x98FEC6BC752A3DB60x3C83DCB52F699C56 儲存在 OpenPGP 智能卡並由我們的發佈管理肙所保管。Smartcards 確保其密碼操作完成在其自身上而祕密的密碼學材料並不會直接讓作業系統來使用它。

Web-of-Trust with the Debian keyring

這支新的簽名密鑰已由不同的 Debian 開發人員所簽署過,如:

So you can use the technique described in our documentation to further verify the Tails signing key against the Debian keyring using any of those three keys.