hoe PGP handtekening van gedownloade Software te verifiëren op Linux
PGP, wat staat voor Pretty Good Privacy, is een publieke sleutel cryptografie software. PGP kan worden gebruikt om datacommunicatie te versleutelen en te ondertekenen. In deze tutorial, zullen we kijken naar hoe u PGP handtekening van gedownloade software te controleren.
Linux-gebruikers kunnen veilig software installeren vanuit de repositories van hun distributie. Maar er zijn ook momenten waarop u software van de website moet downloaden en installeren. Hoe kunt u er zeker van zijn dat de software die u hebt gedownload niet is geknoeid met?
sommige softwareauteurs ondertekenen hun software met behulp van een PGP-programma zoals GPG, een vrije software-implementatie van de OpenPGP-standaard. In dat geval kunt u de integriteit van de software controleren met behulp van GPG.
het proces is relatief eenvoudig:
- u downloadt de publieke sleutel van de auteur van de software.
- controleer de vingerafdruk van de publieke sleutel om er zeker van te zijn dat deze de juiste sleutel is.
- importeer de juiste publieke sleutel in uw GPG publieke sleutelbos.
- Download het handtekeningbestand van de software.
- gebruik publieke sleutel om PGP-ondertekening te verifiëren. Als de handtekening correct is, dan is er niet met de software geknoeid.
we gebruiken VeraCrypt als voorbeeld om u te laten zien hoe u de PGP-handtekening van gedownloade software kunt verifiëren.
voorbeeld: verifieer de PGP-handtekening van VeraCrypt
hoewel VeraCrypt open source software is, is het niet opgenomen in de repository van Ubuntu of andere Linux-distributie. We kunnen downloaden VeraCrypt Linux installer van officiële website.
als alternatief kunt u het VeraCrypt-installatieprogramma in terminal downloaden met het onderstaande commando.
wget https://launchpadlibrarian.net/289850375/veracrypt-1.19-setup.tar.bz2
op de downloadpagina VeraCrypt kunt u ook de downloadlink PGP public key en pgp signature vinden. Download deze twee bestanden. U kunt ze ook downloaden in terminal met behulp van het onderstaande commando.
PGP public key
wget https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc
pgp signature file
wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2.sig
voordat u iets met de publieke sleutel doet, moet u altijd de vingerafdruk van de sleutel controleren om te zien of het de juiste sleutel is. Toon de vingerafdruk van de sleutel met het onderstaande commando.
gpg --with-fingerprint VeraCrypt_PGP_public_key.asc
de tweede regel van de uitvoer is de vingerafdruk van de sleutel.
vergelijk deze met de vingerafdruk die is gepubliceerd op de VeraCrypt-website.
zoals u kunt zien, zijn de twee vingerafdrukken identiek, wat betekent dat de publieke sleutel correct is. Dus u kunt de publieke sleutel importeren in uw publieke sleutelbos met:
gpg --import VeraCrypt_PGP_public_key.asc
Controleer nu de ondertekening met het onderstaande commando. U moet het handtekeningbestand en het software-installatieprogramma opgeven, waarvan de namen meestal identiek zijn, alleen met een andere bestandsextensie. Dit is een losse handtekening, wat betekent dat de handtekening en software gescheiden zijn van elkaar.
gpg --verify veracrypt-1.19-setup.tar.bz2.sig veracrypt-1.19-setup.tar.bz2
op de uitvoer moet “Good Signature”staan.
de ondertekening is een hash-waarde, versleuteld met de persoonlijke sleutel van de softwareauteur. GPG gebruikt de publieke sleutel om hashwaarde te decoderen, bereken vervolgens de hashwaarde van VeraCrypt installer en vergelijk de twee. Als deze twee hash waarden overeenkomen, dan is de handtekening goed en de software is niet geknoeid.
als GPG u vertelt dat het een slechte handtekening is, dan is er met het software-installatieprogramma geknoeid of is het beschadigd.
publieke sleutel importeren uit een vertrouwde bron
merk op dat als de auteur van de software u zijn/haar publieke sleutel-ID op de website vertelt, u de publieke sleutel kunt importeren met:
gpg --recv-keys <key-ID>
toon vervolgens de vingerafdruk met:
gpg --fingerprint <key-ID>
en vergelijk de vingerafdruk van de output met die gepubliceerd op de website. Dit is veiliger omdat de publieke sleutel wordt geïmporteerd van een publieke sleutelserver, die standaard is ingesteld op hkp://keys.gnupg.net
in ~/.gnupg/gpg.conf
bestand. Omdat alle belangrijke keyservers met elkaar communiceren en sleutels synchroniseren, hoeft u de standaard niet te wijzigen.
dat is het!
ik hoop dat deze tutorial u heeft geholpen de PGP-handtekening van softwaredownloads te verifiëren. Zoals altijd, als je dit bericht nuttig vond, abonneer je dan op onze gratis nieuwsbrief of volg ons op Google+, Twitter of like onze Facebook-pagina.