
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=windows-1256">

<meta name="Generator" content="Microsoft Exchange Server">

<!-- converted from text --><style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>

</head>

<body>

<div>

<div>

<div style="font-family:Calibri,sans-serif; font-size:11pt">"One question, if you will - I don't think this was asked so far - is<br>

authenticode verifiable from Linux, without Windows? And does it work<br>

for users of WINE ?"<br>

<br>

I've seen some info suggesting that it's verifiable, but you do need to extract the cert and calculate the hash against less than the signed file. Seemed like Mono had a tool for it, but OpenSSL can handle the cert.<br>

<br>

Currently the new installer doesn't run on Wine because of missing APIs (since I want to discuss alternate distribution ideas I haven't treated this as a priority), and I've heard they haven't implemented enough crypto yet to handle it, but that could be outdated.<br>

<br>

"GPG sigs will provide protection against replay attacks"<br>

<br>

How does this work?<br>

<br>

Cheers,<br>

Steve<br>

<br>

Top-posted from my Windows Phone</div>

</div>

<div dir="ltr">

<hr>

<span style="font-family:Calibri,sans-serif; font-size:11pt; font-weight:bold">From:

</span><span style="font-family:Calibri,sans-serif; font-size:11pt"><a href="mailto:robertc@robertcollins.net">Robert Collins</a></span><br>

<span style="font-family:Calibri,sans-serif; font-size:11pt; font-weight:bold">Sent:

</span><span style="font-family:Calibri,sans-serif; font-size:11pt">ı4/ı4/ı2015 21:59</span><br>

<span style="font-family:Calibri,sans-serif; font-size:11pt; font-weight:bold">To:

</span><span style="font-family:Calibri,sans-serif; font-size:11pt"><a href="mailto:Steve.Dower@microsoft.com">Steve Dower</a></span><br>

<span style="font-family:Calibri,sans-serif; font-size:11pt; font-weight:bold">Cc:

</span><span style="font-family:Calibri,sans-serif; font-size:11pt"><a href="mailto:mal@egenix.com">M.-A. Lemburg</a>;

<a href="mailto:larry@hastings.org">Larry Hastings</a>; <a href="mailto:python-dev@python.org">

Python Dev</a>; <a href="mailto:python-committers@python.org">python-committers</a></span><br>

<span style="font-family:Calibri,sans-serif; font-size:11pt; font-weight:bold">Subject:

</span><span style="font-family:Calibri,sans-serif; font-size:11pt">Re: [Python-Dev] [python-committers] Do we need to sign Windows files with GnuPG?</span><br>

<br>

</div>

</div>

<font size="2"><span style="font-size:10pt;">

<div class="PlainText">On 4 April 2015 at 11:14, Steve Dower <Steve.Dower@microsoft.com> wrote:<br>

> The thing is, that's exactly the same goodness as Authenticode gives, except<br>

> everyone gets that for free and meanwhile you're the only one who has<br>

> admitted to using GPG on Windows :)<br>

><br>

> Basically, what I want to hear is that GPG sigs provide significantly better<br>

> protection than hashes (and I can provide better than MD5 for all files if<br>

> it's useful), taking into consideration that (I assume) I'd have to obtain a<br>

> signing key for GPG and unless there's a CA involved like there is for<br>

> Authenticode, there's no existing trust in that key.<br>

<br>

GPG sigs will provide protection against replay attacks [unless we're<br>

proposing to revoke signatures on old point releases with known<br>

security vulnerabilities - something that Window software vendors tend<br>

not to do because of the dramatic and immediate effect on the deployed<br>

base...]<br>

<br>

This is not relevant for things we're hosting on SSL, but is if anyone<br>

is mirroring our installers around. They dont' seem to be so perhaps<br>

its a bit 'meh'.<br>

<br>

OTOH I also think there is value in consistency: signing all our<br>

artifacts makes checking back on them later easier, should we need to.<br>

<br>

One question, if you will - I don't think this was asked so far - is<br>

authenticode verifiable from Linux, without Windows? And does it work<br>

for users of WINE ?<br>

<br>

-Rob<br>

<br>

<br>

-- <br>

Robert Collins <rbtcollins@hp.com><br>

Distinguished Technologist<br>

HP Converged Cloud<br>

</div>

</span></font>

</body>

</html>