sådan verificeres PGP-signaturen for hentede programmer
PGP, som står for Pretty Good Privacy, er et offentligt nøglekryptografiprogram. PGP kan bruges til at kryptere og underskrive datakommunikation. I denne vejledning vil vi se på, hvordan du verificerer PGP-signatur af hentede programmer.
brugere kan installere programmer sikkert fra deres distributionslager. Men der er også tidspunkter, hvor du har brug for at hente og installere programmer fra hjemmesiden. Hvordan kan du være sikker på, at det program, du hentede ikke blev manipuleret med?
nogle programmelforfattere underskriver deres program ved hjælp af et PGP-program som f.eks GPG, som er en gratis programmel implementering af OpenPGP-standarden. I så fald kan du kontrollere integriteten af programmer ved hjælp af GPG.
processen er relativt enkel:
- du henter den offentlige nøgle til programforfatteren.
- kontroller fingeraftrykket på den offentlige nøgle for at sikre, at det er den rigtige nøgle.
- Importer den korrekte offentlige nøgle til din GPG offentlige nøglering.
- Hent programmets signaturfil.
- Brug offentlig nøgle til at bekræfte PGP-signatur. Hvis signaturen er korrekt, blev programmet ikke manipuleret.
vi bruger VeraCrypt som et eksempel til at vise dig, hvordan du verificerer PGP-signaturen for hentede programmer.
eksempel: Bekræft PGP-signatur af VeraCrypt
selvom VeraCrypt er open source-program, er det ikke inkluderet i Ubuntu eller andre distributionsarkiver. Vi kan hente VeraCrypt installer fra officielle hjemmeside.
Alternativt kan du hente VeraCrypt installer i terminal ved hjælp af kommandoen nedenfor.
wget https://launchpadlibrarian.net/289850375/veracrypt-1.19-setup.tar.bz2
på VeraCrypt-overførselssiden kan du også finde PGP offentlig nøgle og PGP-signaturoverførselslink. Hent disse to filer. Alternativt kan du hente dem i terminal ved hjælp af kommandoen nedenfor.
PGP offentlig nøgle
wget https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc
PGP signaturfil
wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2.sig
før du gør noget med den offentlige nøgle, skal du altid kontrollere nøglens fingeraftryk for at se, om det er den rigtige nøgle. Vis fingeraftrykket på nøglen ved hjælp af kommandoen nedenfor.
gpg --with-fingerprint VeraCrypt_PGP_public_key.asc
den anden linje i output er nøglens fingeraftryk.
sammenlign det med fingeraftrykket offentliggjort på VeraCrypt hjemmeside.
som du kan se, er de to fingeraftryk identiske, hvilket betyder, at den offentlige nøgle er korrekt. Så du kan importere den offentlige nøgle til din offentlige nøglering med:
gpg --import VeraCrypt_PGP_public_key.asc
Bekræft nu signaturen ved hjælp af kommandoen nedenfor. Du skal angive signaturfilen og installationsprogrammet, hvis navne normalt er identiske, kun med forskellige filtypenavne. Dette er en fritliggende signatur, hvilket betyder, at signaturen og programmet er adskilt fra hinanden.
gpg --verify veracrypt-1.19-setup.tar.bz2.sig veracrypt-1.19-setup.tar.bz2
udgangen skal sige “god signatur”.
signaturen er en hashværdi, krypteret med programforfatterens private nøgle. GPG bruger den offentlige nøgle til at dekryptere hashværdi, derefter beregne hashværdien af VeraCrypt installer og sammenligne de to. Hvis disse to hashværdier stemmer overens, er signaturen god, og programmet blev ikke manipuleret med.
hvis GPG fortæller dig, at det er en dårlig signatur, blev installationsprogrammet manipuleret eller ødelagt.
import af offentlig nøgle fra en pålidelig kilde
Bemærk, at hvis programforfatteren fortæller dig sit offentlige nøgle-ID på hjemmesiden, kan du importere den offentlige nøgle med:
gpg --recv-keys <key-ID>
vis derefter fingeraftrykket med:
gpg --fingerprint <key-ID>
og sammenlign fingeraftrykket fra output med det, der er offentliggjort på hjemmesiden. Dette er mere sikkert, fordi den offentlige nøgle importeres fra en offentlig nøgleserver, som som standard er indstillet til hkp://keys.gnupg.net
i ~/.gnupg/gpg.conf
fil. Da alle de store nøgleservere kommunikerer med hinanden og synkroniserer nøgler, så du ikke behøver at ændre standard.
det er det!
jeg håber, at denne tutorial hjalp dig med at bekræfte PGP-underskrift af programoverførsler. Som altid, hvis du fandt dette indlæg nyttigt, så abonner på vores gratis nyhedsbrev eller følg os på Google+, kvidre eller lignende vores Facebook-side.