jak ověřit podpis PGP staženého softwaru na Linuxu
PGP, což znamená docela dobré soukromí, je kryptografický software s veřejným klíčem. PGP lze použít k šifrování a podepisování datové komunikace. V tomto tutoriálu se podíváme na to, jak ověřit podpis PGP staženého softwaru.
uživatelé Linuxu mohou bezpečně instalovat software z úložišť své distribuce. Ale jsou i chvíle, kdy je třeba stáhnout a nainstalovat software z webových stránek. Jak si můžete být jisti, že software, který jste stáhli, nebyl manipulován?
někteří autoři softwaru podepisují svůj software pomocí programu PGP, jako je GPG, což je svobodná softwarová implementace standardu openPGP. V takovém případě můžete ověřit integritu softwaru pomocí GPG.
proces je relativně jednoduchý:
- stáhnete veřejný klíč autora softwaru.
- zkontrolujte otisk veřejného klíče, abyste se ujistili, že je to správný klíč.
- Importujte správný veřejný klíč do veřejné klíčenky GPG.
- Stáhněte si podpisový soubor softwaru.
- k ověření podpisu PGP použijte veřejný klíč. Pokud je podpis správný, pak se softwarem nebylo manipulováno.
VeraCrypt použijeme jako příklad, abychom vám ukázali, jak ověřit podpis PGP staženého softwaru.
příklad: ověřte podpis PGP VeraCrypt
přestože je VeraCrypt open source software, není součástí úložiště Ubuntu ani jiné distribuce Linuxu. Můžeme stáhnout VeraCrypt Linux installer z oficiálních webových stránek.
alternativně si můžete stáhnout instalační program VeraCrypt v terminálu pomocí níže uvedeného příkazu.
wget https://launchpadlibrarian.net/289850375/veracrypt-1.19-setup.tar.bz2
na stránce Ke stažení VeraCrypt najdete také odkaz na stažení veřejného klíče PGP a podpisu PGP. Stáhněte si tyto dva soubory. Případně si je můžete stáhnout v terminálu pomocí níže uvedeného příkazu.
PGP veřejný klíč
wget https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc
PGP signature file
wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2.sig
Než začnete dělat něco s veřejným klíčem, musíte vždy zkontrolovat klíč, otisk prstu, jestli je to správný klíč. Zobrazte otisk prstu klíče pomocí níže uvedeného příkazu.
gpg --with-fingerprint VeraCrypt_PGP_public_key.asc
druhým řádkem výstupu je otisk klíče.
porovnejte jej s otiskem prstu zveřejněným na webových stránkách VeraCrypt.
jak vidíte, oba otisky prstů jsou identické, což znamená, že veřejný klíč je správný. Takže můžete importovat veřejný klíč do veřejné klíčenky pomocí:
gpg --import VeraCrypt_PGP_public_key.asc
nyní ověřte podpis pomocí níže uvedeného příkazu. Musíte zadat podpisový soubor a instalační program softwaru, jejichž názvy jsou obvykle totožné, pouze s jinou příponou souboru. Jedná se o samostatný podpis, což znamená, že podpis a software jsou od sebe odděleny.
gpg --verify veracrypt-1.19-setup.tar.bz2.sig veracrypt-1.19-setup.tar.bz2
výstup by měl říkat „Dobrý podpis“.
podpis je hodnota hash, šifrovaná soukromým klíčem autora softwaru. GPG používá veřejný klíč k dešifrování hodnoty hash, pak vypočítat hodnotu hash VeraCrypt instalátoru a porovnat dva. Pokud se tyto dvě hodnoty hash shodují, pak je podpis dobrý a software nebyl manipulován.
pokud vám GPG řekne, že je to špatný podpis, pak byl instalační program softwaru manipulován nebo poškozen.
Import Veřejného Klíče z Důvěryhodného Zdroje
Všimněte si, že pokud software autor řekne jeho/její veřejný klíč ID na webových stránkách, pak můžete importovat veřejný klíč s:
gpg --recv-keys <key-ID>
Pak zobrazení otisků prstů s:
gpg --fingerprint <key-ID>
A porovnat otisk z výstupu s, které jsou zveřejněny na webových stránkách. To je bezpečnější, protože veřejný klíč je importován ze serveru veřejného klíče, který je ve výchozím nastavení nastaven na hkp://keys.gnupg.net v souboru ~/.gnupg/gpg.conf. Vzhledem k tomu, že všechny hlavní klíčeservery spolu komunikují a synchronizují klíče, nemusíte měnit výchozí nastavení.
to je ono!
doufám, že tento tutoriál vám pomohl ověřit PGP podpis stahování softwaru. Jako vždy, pokud vám tento příspěvek připadá užitečný, přihlaste se k odběru našeho bezplatného zpravodaje nebo nás sledujte na Google+, Twitteru nebo na naší stránce Facebook.