ModSecurity项目PGP签名验证问题解析

背景介绍

ModSecurity是一款开源的Web应用防火墙(WAF)引擎，最近从TrustWave转移到了OWASP(开放Web应用安全项目)组织下进行维护。在项目所有权转移过程中，PGP签名密钥也进行了更换，这导致了一些用户在验证软件包签名时遇到了问题。

新旧签名密钥变更

在ModSecurity 3.0.12版本之前，软件包使用的是个人开发者Martin Holste Svendsen的个人PGP密钥进行签名，其密钥ID为：

F126692E9BA86B3958E73ED2F2FC4E45883BCBA4

自3.0.12版本开始，OWASP ModSecurity团队创建了新的组织PGP密钥进行签名，新密钥ID为：

0B2BA1924065B44691202A2AD286E022149F0F6E

签名验证问题解决方案

当用户遇到签名验证失败时，可以按照以下步骤解决：

1. 获取新的公钥： 新密钥已经发布到多个知名的PGP密钥服务器，可以通过以下命令获取：

   gpg --keyserver keyserver.ubuntu.com --recv-key 0B2BA1924065B44691202A2AD286E022149F0F6E
   

2. 验证签名： 获取密钥后，可以使用以下命令验证软件包签名：

   gpg --verify modsecurity-v3.0.13.tar.gz.asc modsecurity-v3.0.13.tar.gz
   

3. 常见问题处理：

   • 如果验证时显示"BAD signature"，首先确认下载的是官方发布的软件包而非源代码
   • 虽然密钥验证通过，但可能会显示"Unknown mode"警告，这是因为新密钥尚未被广泛信任

技术建议

1. 密钥信任链： 对于生产环境使用，建议对新的OWASP ModSecurity密钥建立信任链，可以通过以下方式之一：

   • 手动签名验证密钥指纹
   • 通过Web of Trust建立信任关系

2. 完整性检查： 除了PGP签名验证外，还应同时检查软件包的SHA256校验和，确保下载的软件包完整无损

3. 自动化部署考虑： 在自动化部署脚本中，需要更新密钥ID和验证流程，以适配新的签名密钥

总结

ModSecurity项目转移到OWASP后，签名密钥的变更是一个必要的安全措施。开发者和管理员需要及时更新本地密钥环，确保能够正确验证新版本软件包的完整性和真实性。通过遵循上述步骤和建议，可以顺利完成过渡并保持系统的安全性。