Como verificar a Assinatura PGP do Software baixado no Linux
PGP, que significa Privacidade muito boa, é um software de criptografia de chave pública. PGP pode ser usado para encriptar e assinar a comunicação de dados. Neste tutorial, vamos ver como verificar a assinatura PGP do software baixado.
os usuários do Linux podem instalar software de forma segura a partir dos repositórios de sua distribuição. Mas também há momentos em que você precisa baixar e instalar software a partir do site. Como podes ter a certeza que o software que baixaste não foi adulterado?
alguns autores de software assinam seu software usando um programa PGP, como o GPG,que é uma implementação de software livre do padrão openPGP. Nesse caso, você pode verificar a integridade do software usando GPG.
O processo é relativamente simples:
- Você download a chave pública do autor do software.
- Verifique a impressão digital da chave pública para garantir que é a chave correta.
- importar a chave pública correcta para o seu porta-chaves público GPG.
- Descarregue o ficheiro de assinatura do software.
- utilize a chave pública para verificar a assinatura PGP. Se a Assinatura está correta, então o software não foi adulterado.
usaremos o VeraCrypt como exemplo para mostrar como verificar a assinatura PGP do software baixado.
exemplo: verificar a Assinatura PGP do VeraCrypt
embora o VeraCrypt seja software de código aberto, não está incluído no Ubuntu ou no repositório de outras distribuições Linux. Podemos baixar o instalador VeraCrypt Linux a partir do site oficial.
em alternativa, poderá obter o instalador de VeraCrypt no terminal usando o comando abaixo.
wget https://launchpadlibrarian.net/289850375/veracrypt-1.19-setup.tar.bz2
na página de download VeraCrypt, você também pode encontrar PGP chave pública e PGP assinatura download link. Descarrega estes dois ficheiros. Alternativamente, você pode baixá-los no terminal usando o comando abaixo.
PGP public key
wget https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc
PGP arquivo de assinatura
wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2.sig
Antes de fazer qualquer coisa com a chave pública, você deve sempre verificar a chave de impressão para ver se é a chave correta. Mostra a impressão digital da chave usando o comando abaixo.
gpg --with-fingerprint VeraCrypt_PGP_public_key.asc
a segunda linha da saída é a impressão digital da chave.
Compare – a com a impressão digital publicada no Sítio Web VeraCrypt.
como pode ver, as duas impressões digitais são idênticas, o que significa que a chave pública está correcta. Para que possa importar a chave pública para o seu porta-chaves público com:
gpg --import VeraCrypt_PGP_public_key.asc
Agora verifique a assinatura usando o comando abaixo. Você precisa especificar o arquivo de assinatura e o instalador de software, cujos nomes são geralmente idênticos, apenas com uma extensão de arquivo diferente. Esta é uma assinatura separada, o que significa que a assinatura e o software são separados um do outro.
gpg --verify veracrypt-1.19-setup.tar.bz2.sig veracrypt-1.19-setup.tar.bz2
a produção deve dizer “boa Assinatura”.
a Assinatura é um valor de hash, encriptado com a chave privada do autor do software. GPG usa a chave pública para descriptografar o valor de hash, em seguida, calcular o valor de hash do instalador VeraCrypt e comparar os dois. Se estes dois valores de hash coincidem, então a Assinatura é boa e o software não foi adulterado.
se o GPG lhe disser que é uma má assinatura, então o instalador de software foi adulterado ou corrompido.
Importar a Chave Pública a partir de uma Fonte Confiável
Note que se o software autor diz que seu/sua chave pública de IDENTIFICAÇÃO no site, em seguida, você pode importar a chave pública com:
gpg --recv-keys <key-ID>
em Seguida, mostra a impressão digital com:
gpg --fingerprint <key-ID>
E compare a impressão digital de saída com o publicado no site. Isto é mais seguro porque a chave pública é importada de um servidor de chave pública, que por padrão é definido para hkp://keys.gnupg.net
em ~/.gnupg/gpg.conf
arquivo. Uma vez que todos os principais keyservers se comunicam entre si e sincronizam as chaves, então você não precisa mudar o padrão.Isso mesmo!
espero que este tutorial o tenha ajudado a verificar a assinatura PGP dos downloads de software. Como sempre, se você achou este post útil, então assine o nosso boletim gratuito ou siga-nos no Google+, Twitter ou como a nossa página no Facebook.