Hogyan ellenőrizhető a letöltött szoftver PGP aláírása Linuxon

BY admin
|

a PGP, amely a Pretty Good Privacy rövidítése, egy nyilvános kulcsú kriptográfiai szoftver. A PGP használható az adatkommunikáció titkosítására és aláírására. Ebben az oktatóanyagban megvizsgáljuk, hogyan lehet ellenőrizni a letöltött szoftver PGP aláírását.

a Linux felhasználók biztonságosan telepíthetik a szoftvert a disztribúció tárolóiból. De vannak olyan esetek is, amikor le kell töltenie és telepítenie kell a szoftvert a webhelyről. Hogyan lehet biztos abban, hogy a letöltött szoftvert nem babrálták meg?

egyes szoftverszerzők PGP programmal, például GPG-vel írják alá szoftverüket, amely az openPGP szabvány szabad szoftveres megvalósítása. Ebben az esetben ellenőrizheti a szoftver integritását a GPG használatával.

a folyamat viszonylag egyszerű:

  1. letölti a szoftver szerzőjének nyilvános kulcsát.
  2. ellenőrizze a nyilvános kulcs ujjlenyomatát, hogy a helyes kulcs-e.
  3. importálja a megfelelő nyilvános kulcsot a GPG nyilvános kulcstartójába.
  4. töltse le a szoftver aláírási fájlját.
  5. használja a nyilvános kulcsot a PGP aláírás ellenőrzéséhez. Ha az aláírás helyes, akkor a szoftvert nem manipulálták.

a VeraCrypt-et példaként fogjuk használni, hogy megmutassuk, hogyan lehet ellenőrizni a letöltött szoftver PGP aláírását.

példa: ellenőrizze a VeraCrypt PGP aláírását

bár a VeraCrypt nyílt forráskódú szoftver, nem szerepel az Ubuntu vagy más Linux disztribúció tárolójában. Mi lehet letölteni VeraCrypt Linux telepítő hivatalos honlapján.

VeraCrypt ellenőrizze a gpg aláírást

Alternatív megoldásként letöltheti a VeraCrypt telepítőt a terminálból az alábbi paranccsal.

wget https://launchpadlibrarian.net/289850375/veracrypt-1.19-setup.tar.bz2

a VeraCrypt letöltési oldalán megtalálható a PGP nyilvános kulcs és a PGP aláírás letöltési link is. Töltse le ezt a két fájlt. Alternatív megoldásként letöltheti őket terminál az alábbi parancs segítségével.

PGP nyilvános kulcs

wget https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc

PGP aláírási fájl

wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2.sig

mielőtt bármit is csinálna a nyilvános kulccsal, mindig ellenőrizze a kulcs ujjlenyomatát, hogy a helyes kulcs-e. Jelenítse meg a kulcs ujjlenyomatát az alábbi parancs segítségével.

gpg --with-fingerprint VeraCrypt_PGP_public_key.asc

a kimenet második sora a kulcs ujjlenyomata.

PGP nyilvános kulcsú ujjlenyomat

hasonlítsa össze a VeraCrypt honlapján közzétett ujjlenyomattal.

veracrypt nyilvános kulcs ujjlenyomat

mint látható, a két ujjlenyomat azonos, ami azt jelenti, hogy a nyilvános kulcs helyes. Így importálhatja a nyilvános kulcsot a nyilvános kulcstartóba:

gpg --import VeraCrypt_PGP_public_key.asc

GPG import nyilvános kulcs

most ellenőrizze az aláírást az alábbi paranccsal. Meg kell adnia az aláírási fájlt és a szoftvertelepítőt, amelyek neve általában azonos, csak különböző fájlkiterjesztéssel. Ez egy különálló aláírás, ami azt jelenti, hogy az aláírás és a szoftver egymástól elkülönül.

gpg --verify veracrypt-1.19-setup.tar.bz2.sig veracrypt-1.19-setup.tar.bz2

a kimenetnek “jó aláírást”kell mondania.

PGP aláírás ellenőrzése

az aláírás egy hash érték, amelyet a szoftver szerzőjének privát kulcsa titkosít. A GPG a nyilvános kulcsot használja a hash érték visszafejtéséhez, majd kiszámítja a VeraCrypt installer hash értékét, és összehasonlítja a kettőt. Ha ez a két hash érték egyezik, akkor az aláírás jó, és a szoftvert nem manipulálták.

ha a GPG azt mondja, hogy rossz aláírás, akkor a szoftver telepítőjét meghamisították vagy megsérültek.

nyilvános kulcs importálása megbízható forrásból

vegye figyelembe, hogy ha a szoftver szerzője megadja a nyilvános kulcs azonosítóját a webhelyen, akkor a nyilvános kulcsot a:

gpg --recv-keys <key-ID>

ezután jelenítse meg az ujjlenyomatot:

gpg --fingerprint <key-ID>

hasonlítsa össze a kimeneti ujjlenyomatot a weboldalon közzétett ujjlenyomatokkal. Ez azért biztonságosabb, mert a nyilvános kulcsot egy nyilvános kulcsú kiszolgálóról importálják, amely alapértelmezés szerint hkp://keys.gnupg.net a ~/.gnupg/gpg.conf fájlban. Mivel az összes főbb kulcskiszolgáló kommunikál egymással és szinkronizálja a kulcsokat, így nem kell módosítania az alapértelmezett értéket.

ez az!

remélem, hogy ez a bemutató segített ellenőrizni a szoftverletöltések PGP aláírását. Mint mindig, ha hasznosnak találta ezt a bejegyzést, akkor iratkozzon fel ingyenes hírlevelünkre, vagy kövessen minket a Google+ – on, a Twitteren vagy a Facebook-oldalunkon.

értékeld ezt az oktatóanyagot