Tor Project stopt met extra beveiligde Tor Browser
Het Tor Project heeft na anderhalf jaar besloten om met de extra beveiligde versie van Tor Browser te stoppen. De "hardened" Tor Browser was van allerlei maatregelen voorzien om geheugenaanvallen te voorkomen, met name als JavaScript stond uitgeschakeld.
Dit moest gebruikers tegen aanvallen beschermen. Daarnaast moest de versie helpen om eerder problemen te vinden en die in de alpha en stabiele versies te verhelpen. De hardened versie was ook op de alpha-testversie gebaseerd. De extra beveiliging had ook verschillende nadelen. Zo is deze versie trager, verbruikt meer geheugen en is iets groter dan de normale versie. Een groot probleem was echter de verwarring bij gebruikers. Door het combineren van een testversie met extra beveiligingsopties was het onduidelijk voor gebruikers of dit wel de versie was die ze wilden. Daarom is nu besloten om met deze extra beveiligde versie te stoppen.
In plaats daarvan zullen er losse tools beschikbaar worden gesteld om de twee doelen die de hardened versie had te bereiken. Zo krijgen huidige gebruikers van de hardened versie het advies om gesandboxte Tor Browser te gebruiken. Deze versie bevindt zich nog in de experimentele fase en is alleen voor Linux beschikbaar. Toch biedt deze versie volgens het Tor Project een betere bescherming tegen aanvallen dan de hardened versie. Wat betreft het vroegtijdig vinden van bugs in Tor Browser zullen hiervoor binnenkort weer allerlei vroege "nightly" testversies worden uitgebracht.
De eerste TOR browser software gedownload van: https://www.torproject.org/projects/torbrowser.html.en
Hier gekozen voor de Nederlandse versie met de naam: torbrowser-install-6.5.2_nl.exe
Vervolgens de handtekening: torbrowser-install-6.5.2_nl.exe.asc
Daarna de TOR browser gedownload van : https://www.torproject.org/download/download-easy.html.en
Wederom de nederlandse versie: torbrowser-install-6.5.2_en-US.exe
De handtekening: torbrowser-install-6.5.2_en-US.exe.asc
Om nu de beide software pakketten te kunnen controleren op hun validiteit, de richtlijnen gevolgd op de website:
https://www.torproject.org/docs/verifying-signatures.html.en
Hier gezocht naar de publieke sleutel van de TOR browser met het Key-Id: 0x4E2C6E8793298290
Deze publieke sleutel geimporteert in GPG4WIN.
Nu vervolgens de handtekeningen gecontroleerd, en als uitkomst krijg ik dat beide bestanden niet met de handtekening overeenkomen.
De Fingerprint die GPG4WIN opgeeft bij : torbrowser-install-6.5.2_en-US.exe.asc is
0xA4300A6BC93C0877A4451486D1483FA6C3C07136.
De Fingerprint die GPG4WIN opgeeft bij : torbrowser-install-6.5.2_nl.exe.asc is
0xA4300A6BC93C0877A4451486D1483FA6C3C07136.
Beide Key Id zijn ook hetzelfde.
De vraag is wie kan hier duidelijkheid in brengen!
In dit programma heb ik de publieke sleutel die verbonden is aan de handtekening eerst eens verwijdert, en de handtekening gecontroleerd.
Ik heb dus gebruik gemaakt van de signature door u hier geplaatst, en als controle de originele zoals deze in de link staat geplaatst op de website.
Met PGP betekend dit de signature selecteren, en PGP vragen om de verificatie, en de uitkomst is:
*** PGP SIGNATURE VERIFICATION ***
*** Status: Unknown Signature
*** Signer: Unknown Key (0xC3C07136)
*** Signed: 18-4-2017 16:37:57
*** Verified: 22-4-2017 17:38:38
*** BEGIN PGP VERIFIED MESSAGE ***
*** END PGP VERIFIED MESSAGE ***
Vervolgens de key (0xC3C07136) opgezocht via de openPGP server van Surfnet.
Die geeft aan, dat het hier handelt om een publieke sleutel met als ke-id 0x4e2c6e8793298290
Dit klopt geheel met de door TOR genoemde publieke sleutel op hun website waarmee de handtekening is gemaakt.
Vervolgens het Public Key block geselecteerd, en in PGP geïmporteerd
De fingerprint van de publieke sleutel is: EF6E 286D DA85 EA2A 4BA7 DE68 4E2C 6E87 9329 8290
Er zijn 4 subkeys:
1. 5242 013F 02AF C851 B1C7 36B8 7017 ADCE
2. BA1E E421 BBB4 5263 180E 1FC7 2E1A C68E
3. 05FA 4425 3F6C 19A8 B7F5 18D4 2D00 0988
4. A430 0A6B C93C 0877 A445 1486 D148 3FA6
De laatste subkey wordt door u genoemd, en heeft als kenmerk; Default Signing.
Key-id is 0xC3C07136
Een en ander bevestig dat dit de publieke sleutel is waarmee [ torbrowser-install-6.5.2_en-US.exe ] is gesigneerd.
Vervolgens nu heb ik [ torbrowser-install-6.5.2_en-US.exe ] met de door u geplaatste PGP SIGNATURE gecontroleerd.
De uitkomst:
*** PGP SIGNATURE VERIFICATION ***
*** Status: Good Signature from Invalid Key
*** Alert: Please verify signer's key before trusting signature.
*** Signer: Tor Browser Developers (signing key) <torbrowser@torproject.org> (0x93298290:0xC3C07136)
*** Signed: 18-4-2017 16:37:57
*** Verified: 22-4-2017 17:56:38
*** BEGIN PGP VERIFIED MESSAGE ***
*** END PGP VERIFIED MESSAGE ***
Een Good Signature from invalid key, hetgeen dus onbetrouwbaar is, of interpreteer ik dit onjuist.
Dit zou moeten zijn Status: Good Signature from not trusted Key.
gpg4win gebruikt die omschrijving wel. "gpg: WARNING: This key is not certified with a trusted signature!"
Waarom echter niet gewoon een checksum getal, dat is toch veel handiger
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
