Hogyan ellenőrizhető a letöltött szoftver PGP aláírása Linuxon
a PGP, amely a Pretty Good Privacy rövidítése, egy nyilvános kulcsú kriptográfiai szoftver. A PGP használható az adatkommunikáció titkosítására és aláírására. Ebben az oktatóanyagban megvizsgáljuk, hogyan lehet ellenőrizni a letöltött szoftver PGP aláírását.
a Linux felhasználók biztonságosan telepíthetik a szoftvert a disztribúció tárolóiból. De vannak olyan esetek is, amikor le kell töltenie és telepítenie kell a szoftvert a webhelyről. Hogyan lehet biztos abban, hogy a letöltött szoftvert nem babrálták meg?
egyes szoftverszerzők PGP programmal, például GPG-vel írják alá szoftverüket, amely az openPGP szabvány szabad szoftveres megvalósítása. Ebben az esetben ellenőrizheti a szoftver integritását a GPG használatával.
a folyamat viszonylag egyszerű:
- letölti a szoftver szerzőjének nyilvános kulcsát.
- ellenőrizze a nyilvános kulcs ujjlenyomatát, hogy a helyes kulcs-e.
- importálja a megfelelő nyilvános kulcsot a GPG nyilvános kulcstartójába.
- töltse le a szoftver aláírási fájlját.
- használja a nyilvános kulcsot a PGP aláírás ellenőrzéséhez. Ha az aláírás helyes, akkor a szoftvert nem manipulálták.
a VeraCrypt-et példaként fogjuk használni, hogy megmutassuk, hogyan lehet ellenőrizni a letöltött szoftver PGP aláírását.
példa: ellenőrizze a VeraCrypt PGP aláírását
bár a VeraCrypt nyílt forráskódú szoftver, nem szerepel az Ubuntu vagy más Linux disztribúció tárolójában. Mi lehet letölteni VeraCrypt Linux telepítő hivatalos honlapján.
Alternatív megoldásként letöltheti a VeraCrypt telepítőt a terminálból az alábbi paranccsal.
wget https://launchpadlibrarian.net/289850375/veracrypt-1.19-setup.tar.bz2
a VeraCrypt letöltési oldalán megtalálható a PGP nyilvános kulcs és a PGP aláírás letöltési link is. Töltse le ezt a két fájlt. Alternatív megoldásként letöltheti őket terminál az alábbi parancs segítségével.
PGP nyilvános kulcs
wget https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc
PGP aláírási fájl
wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2.sig
mielőtt bármit is csinálna a nyilvános kulccsal, mindig ellenőrizze a kulcs ujjlenyomatát, hogy a helyes kulcs-e. Jelenítse meg a kulcs ujjlenyomatát az alábbi parancs segítségével.
gpg --with-fingerprint VeraCrypt_PGP_public_key.asc
a kimenet második sora a kulcs ujjlenyomata.
hasonlítsa össze a VeraCrypt honlapján közzétett ujjlenyomattal.
mint látható, a két ujjlenyomat azonos, ami azt jelenti, hogy a nyilvános kulcs helyes. Így importálhatja a nyilvános kulcsot a nyilvános kulcstartóba:
gpg --import VeraCrypt_PGP_public_key.asc
most ellenőrizze az aláírást az alábbi paranccsal. Meg kell adnia az aláírási fájlt és a szoftvertelepítőt, amelyek neve általában azonos, csak különböző fájlkiterjesztéssel. Ez egy különálló aláírás, ami azt jelenti, hogy az aláírás és a szoftver egymástól elkülönül.
gpg --verify veracrypt-1.19-setup.tar.bz2.sig veracrypt-1.19-setup.tar.bz2
a kimenetnek “jó aláírást”kell mondania.
az aláírás egy hash érték, amelyet a szoftver szerzőjének privát kulcsa titkosít. A GPG a nyilvános kulcsot használja a hash érték visszafejtéséhez, majd kiszámítja a VeraCrypt installer hash értékét, és összehasonlítja a kettőt. Ha ez a két hash érték egyezik, akkor az aláírás jó, és a szoftvert nem manipulálták.
ha a GPG azt mondja, hogy rossz aláírás, akkor a szoftver telepítőjét meghamisították vagy megsérültek.
nyilvános kulcs importálása megbízható forrásból
vegye figyelembe, hogy ha a szoftver szerzője megadja a nyilvános kulcs azonosítóját a webhelyen, akkor a nyilvános kulcsot a:
gpg --recv-keys <key-ID>
ezután jelenítse meg az ujjlenyomatot:
gpg --fingerprint <key-ID>
hasonlítsa össze a kimeneti ujjlenyomatot a weboldalon közzétett ujjlenyomatokkal. Ez azért biztonságosabb, mert a nyilvános kulcsot egy nyilvános kulcsú kiszolgálóról importálják, amely alapértelmezés szerint hkp://keys.gnupg.net
a ~/.gnupg/gpg.conf
fájlban. Mivel az összes főbb kulcskiszolgáló kommunikál egymással és szinkronizálja a kulcsokat, így nem kell módosítania az alapértelmezett értéket.
ez az!
remélem, hogy ez a bemutató segített ellenőrizni a szoftverletöltések PGP aláírását. Mint mindig, ha hasznosnak találta ezt a bejegyzést, akkor iratkozzon fel ingyenes hírlevelünkre, vagy kövessen minket a Google+ – on, a Twitteren vagy a Facebook-oldalunkon.