Kuinka tarkistaa ladatun ohjelmiston PGP-allekirjoitus Linuxissa

BY admin
|

PGP, joka tarkoittaa melko hyvää yksityisyyttä, on julkisen avaimen salausohjelmisto. PGP: tä voidaan käyttää tietoliikenteen salaamiseen ja allekirjoittamiseen. Tässä opetusohjelma, tarkastelemme miten tarkistaa PGP allekirjoitus ladatun ohjelmiston.

Linux-käyttäjät voivat turvallisesti asentaa ohjelmistoja jakelunsa arkistoista. Mutta on myös aikoja, jolloin sinun täytyy ladata ja asentaa ohjelmistoja verkkosivuilla. Miten voit olla varma, ettei lataamaasi ohjelmistoa peukaloitu?

jotkut ohjelmistontekijät allekirjoittavat ohjelmistonsa PGP-ohjelmalla, kuten GPG: llä, joka on OpenPGP-standardin vapaa ohjelmistototeutus. Siinä tapauksessa voit tarkistaa ohjelmiston eheyden GPG: n avulla.

prosessi on suhteellisen yksinkertainen:

  1. lataat ohjelmiston tekijän julkisen avaimen.
  2. Tarkista julkisen avaimen sormenjälki varmistaaksesi, että se on oikea avain.
  3. tuo oikea julkinen avain GPG: n julkiseen avainrenkaaseen.
  4. lataa ohjelmiston allekirjoitustiedosto.
  5. käytä julkista avainta PGP-allekirjoituksen varmentamiseen. Jos allekirjoitus on oikea, ohjelmistoa ei peukaloitu.

käytämme Veracryptiä esimerkkinä näyttääksemme, miten voit tarkistaa ladatun ohjelmiston PGP-allekirjoituksen.

esimerkki: VeraCryptin PGP-allekirjoituksen varmistaminen

vaikka VeraCrypt on avoimen lähdekoodin ohjelmisto, se ei sisälly Ubuntun tai muun Linux-jakelun arkistoon. Voimme ladata VeraCrypt Linux installer virallisilla verkkosivuilla.

VeraCrypt verify gpg signature

Vaihtoehtoisesti voit ladata VeraCrypt Installerin terminaaliin alla olevalla komennolla.

wget https://launchpadlibrarian.net/289850375/veracrypt-1.19-setup.tar.bz2

VeraCryptin lataussivulta löytyy myös PGP public key ja PGP signature-latauslinkki. Lataa nämä kaksi tiedostoa. Vaihtoehtoisesti voit ladata ne terminaalissa alla olevalla komennolla.

PGP julkinen avain

wget https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc

PGP-allekirjoitustiedosto

wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2.sig

ennen kuin teet mitään julkisella avaimella, on aina tarkistettava avaimen sormenjälki, onko se oikea avain. Näytä avaimen sormenjälki alla olevalla komennolla.

gpg --with-fingerprint VeraCrypt_PGP_public_key.asc

lähdön toinen rivi on avaimen sormenjälki.

PGP julkisen avaimen sormenjälki

vertaa sitä VeraCryptin verkkosivuilla julkaistuun sormenjälkeen.

VeraCrypt julkisen avaimen sormenjälki

kuten näette, kaksi sormenjälkeä ovat identtiset, eli julkinen avain on oikea. Voit siis tuoda julkisen avaimen julkiseen avainrenkaaseesi:

gpg --import VeraCrypt_PGP_public_key.asc

GPG tuo julkinen avain

Todenna allekirjoitus alla olevalla komennolla. Sinun täytyy määrittää allekirjoitustiedosto ja ohjelmistoasentaja, joiden nimet ovat yleensä samat, vain eri tiedostopääte. Tämä on irrallinen allekirjoitus, eli allekirjoitus ja ohjelmisto ovat erillään toisistaan.

gpg --verify veracrypt-1.19-setup.tar.bz2.sig veracrypt-1.19-setup.tar.bz2

ulostulossa pitäisi lukea ”hyvä allekirjoitus”.

varmista pgp-allekirjoitus

allekirjoitus on hajautusarvo, joka on salattu ohjelmiston tekijän yksityisellä avaimella. GPG käyttää julkista avainta hash-arvon salaukseen, laskee sitten VeraCrypt Installerin hash-arvon ja vertaa näitä kahta. Jos nämä kaksi hash-arvoa täsmäävät, allekirjoitus on hyvä ja ohjelmistoa ei peukaloitu.

jos GPG kertoo, että se on huono allekirjoitus, ohjelmiston asentajaa on peukaloitu tai vioittunut.

tuodaan julkista avainta luotettavasta lähteestä

huomaa, että jos ohjelmiston tekijä kertoo julkisen avaimen tunnuksensa verkkosivustolla, voit tuoda julkisen avaimen:

gpg --recv-keys <key-ID>

näytä sitten sormenjälki:

gpg --fingerprint <key-ID>

ja vertaa tulosteen sormenjälkeä verkkosivuilla julkaistuun sormenjälkeen. Tämä on turvallisempaa, koska julkinen avain tuodaan julkisen avaimen palvelimelta, jonka oletusarvo on hkp://keys.gnupg.net ~/.gnupg/gpg.conf – tiedostossa. Koska kaikki tärkeimmät avainpalvelimet kommunikoivat keskenään ja synkronoivat avaimet, joten sinun ei tarvitse muuttaa oletuksena.

That ’ s it!

Toivottavasti tämä opetusohjelma auttoi sinua vahvistamaan PGP-allekirjoituksen ohjelmistolatauksista. Kuten aina, jos tämä viesti oli hyödyllinen, tilaa ilmainen uutiskirjeemme tai seuraa meitä Google+: ssa, Twitterissä tai tykkää Facebook-sivustamme.

Arvostele tämä opetusohjelma