Hvordan Verifisere Pgp Signatur Av Nedlastet Programvare på Linux
PGP, som står For Pretty Good Privacy, er en offentlig nøkkel kryptografi programvare. PGP kan brukes til å kryptere og signere datakommunikasjon. I denne opplæringen vil vi se på hvordan du verifiserer pgp-signaturen til nedlastet programvare.
Linux-brukere kan sikkert installere programvare fra distribusjonens repositorier. Men det er også tider når du trenger å laste ned og installere programvare fra nettstedet. Hvordan kan du være sikker på at programvaren du lastet ned ikke ble tuklet med?
noen programvareforfattere signerer programvaren sin ved hjelp AV ET PGP-program som GPG, som er en fri programvareimplementering av openPGP-standarden. I så fall kan du verifisere integriteten til programvare ved HJELP AV GPG.
prosessen er relativt enkel:
- du laster ned den offentlige nøkkelen til programvareforfatteren.
- Kontroller fingeravtrykket til den offentlige nøkkelen for å sikre at det er riktig nøkkel.
- Importer den riktige offentlige nøkkelen TIL gpg-nøkkelringen.
- Last ned programvarens signaturfil.
- bruk den offentlige nøkkelen til å bekrefte pgp-signaturen. Hvis signaturen er riktig, ble programvaren ikke manipulert.
Vi vil bruke VeraCrypt som et eksempel for å vise deg hvordan du verifiserer pgp-signaturen til nedlastet programvare.
Eksempel: Bekreft Pgp-Signatur Av VeraCrypt
Selv Om VeraCrypt er åpen kildekode, er Den ikke inkludert I Ubuntu eller Annen Linux-distribusjons depot. Vi kan laste Ned VeraCrypt Linux installer fra offisiell nettside.
Alternativt kan Du laste Ned VeraCrypt installer i terminal ved hjelp av kommandoen nedenfor.
wget https://launchpadlibrarian.net/289850375/veracrypt-1.19-setup.tar.bz2
På veracrypt nedlastingssiden kan DU også finne pgp public key og pgp signature download link. Last ned disse to filene. Alternativt kan du laste dem ned i terminal ved hjelp av kommandoen nedenfor.
pgp offentlig nøkkel
wget https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc
pgp signaturfil
wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2.sig
før du gjør noe med den offentlige nøkkelen, må du alltid sjekke nøkkelens fingeravtrykk for å se om det er riktig nøkkel. Vis fingeravtrykk av nøkkelen ved hjelp av kommandoen nedenfor.
gpg --with-fingerprint VeraCrypt_PGP_public_key.asc
den andre linjen i utgangen er nøkkelens fingeravtrykk.
Sammenlign det med fingeravtrykket som er publisert På VeraCrypt-nettstedet.
som du kan se, er de to fingeravtrykkene identiske, noe som betyr at den offentlige nøkkelen er riktig. Så du kan importere den offentlige nøkkelen til din offentlige nøkkelring med:
gpg --import VeraCrypt_PGP_public_key.asc
bekreft nå signaturen ved hjelp av kommandoen nedenfor. Du må spesifisere signaturfilen og programvareinstallatøren, hvis navn vanligvis er identiske, bare med annen filtype. Dette er en frittstående signatur, noe som betyr at signaturen og programvaren er skilt fra hverandre.
gpg --verify veracrypt-1.19-setup.tar.bz2.sig veracrypt-1.19-setup.tar.bz2
utgangen skal si «God Signatur».
signaturen er en hash-verdi, kryptert med programvareforfatterens private nøkkel. GPG bruker den offentlige nøkkelen til å dekryptere hash verdi, deretter beregne hash verdien Av VeraCrypt installer og sammenligne de to. Hvis disse to hashverdiene samsvarer, er signaturen god og programvaren ble ikke manipulert.
HVIS GPG forteller deg at det er en dårlig signatur, ble programvareinstallatøren manipulert eller ødelagt.
Importere Offentlig Nøkkel Fra En Klarert Kilde
Merk at hvis programvareforfatteren forteller deg sin offentlige nøkkel-ID på nettstedet, kan du importere den offentlige nøkkelen med:
gpg --recv-keys <key-ID>
deretter viser fingeravtrykk med:
gpg --fingerprint <key-ID>
og sammenlign fingeravtrykk fra utgang med det som er publisert på nettstedet. Dette er sikrere fordi den offentlige nøkkelen importeres fra en offentlig nøkkelserver, som som standard er satt til hkp://keys.gnupg.net
i ~/.gnupg/gpg.conf
fil. Siden alle de store keyservers kommunisere med hverandre og synkronisere nøkler, slik at du ikke trenger å endre standard.
Det er det!
jeg håper denne opplæringen hjalp deg med å verifisere pgp-signaturen til programvarenedlastinger. Som alltid, hvis du fant dette innlegget nyttig, så abonner på vårt gratis nyhetsbrev eller følg Oss På Google+, Twitter eller lik Vår Facebook-side.