sådan verificeres PGP-signaturen for hentede programmer

BY admin
|

PGP, som står for Pretty Good Privacy, er et offentligt nøglekryptografiprogram. PGP kan bruges til at kryptere og underskrive datakommunikation. I denne vejledning vil vi se på, hvordan du verificerer PGP-signatur af hentede programmer.

brugere kan installere programmer sikkert fra deres distributionslager. Men der er også tidspunkter, hvor du har brug for at hente og installere programmer fra hjemmesiden. Hvordan kan du være sikker på, at det program, du hentede ikke blev manipuleret med?

nogle programmelforfattere underskriver deres program ved hjælp af et PGP-program som f.eks GPG, som er en gratis programmel implementering af OpenPGP-standarden. I så fald kan du kontrollere integriteten af programmer ved hjælp af GPG.

processen er relativt enkel:

  1. du henter den offentlige nøgle til programforfatteren.
  2. kontroller fingeraftrykket på den offentlige nøgle for at sikre, at det er den rigtige nøgle.
  3. Importer den korrekte offentlige nøgle til din GPG offentlige nøglering.
  4. Hent programmets signaturfil.
  5. Brug offentlig nøgle til at bekræfte PGP-signatur. Hvis signaturen er korrekt, blev programmet ikke manipuleret.

vi bruger VeraCrypt som et eksempel til at vise dig, hvordan du verificerer PGP-signaturen for hentede programmer.

eksempel: Bekræft PGP-signatur af VeraCrypt

selvom VeraCrypt er open source-program, er det ikke inkluderet i Ubuntu eller andre distributionsarkiver. Vi kan hente VeraCrypt installer fra officielle hjemmeside.

VeraCrypt Bekræft gpg signatur

Alternativt kan du hente VeraCrypt installer i terminal ved hjælp af kommandoen nedenfor.

wget https://launchpadlibrarian.net/289850375/veracrypt-1.19-setup.tar.bz2

på VeraCrypt-overførselssiden kan du også finde PGP offentlig nøgle og PGP-signaturoverførselslink. Hent disse to filer. Alternativt kan du hente dem i terminal ved hjælp af kommandoen nedenfor.

PGP offentlig nøgle

wget https://www.idrix.fr/VeraCrypt/VeraCrypt_PGP_public_key.asc

PGP signaturfil

wget https://launchpad.net/veracrypt/trunk/1.19/+download/veracrypt-1.19-setup.tar.bz2.sig

før du gør noget med den offentlige nøgle, skal du altid kontrollere nøglens fingeraftryk for at se, om det er den rigtige nøgle. Vis fingeraftrykket på nøglen ved hjælp af kommandoen nedenfor.

gpg --with-fingerprint VeraCrypt_PGP_public_key.asc

den anden linje i output er nøglens fingeraftryk.

PGP offentlig nøgle fingeraftryk

sammenlign det med fingeraftrykket offentliggjort på VeraCrypt hjemmeside.

VeraCrypt offentlig nøgle fingeraftryk

som du kan se, er de to fingeraftryk identiske, hvilket betyder, at den offentlige nøgle er korrekt. Så du kan importere den offentlige nøgle til din offentlige nøglering med:

gpg --import VeraCrypt_PGP_public_key.asc

GPG import offentlig nøgle

Bekræft nu signaturen ved hjælp af kommandoen nedenfor. Du skal angive signaturfilen og installationsprogrammet, hvis navne normalt er identiske, kun med forskellige filtypenavne. Dette er en fritliggende signatur, hvilket betyder, at signaturen og programmet er adskilt fra hinanden.

gpg --verify veracrypt-1.19-setup.tar.bz2.sig veracrypt-1.19-setup.tar.bz2

udgangen skal sige “god signatur”.

Bekræft PGP-signatur

signaturen er en hashværdi, krypteret med programforfatterens private nøgle. GPG bruger den offentlige nøgle til at dekryptere hashværdi, derefter beregne hashværdien af VeraCrypt installer og sammenligne de to. Hvis disse to hashværdier stemmer overens, er signaturen god, og programmet blev ikke manipuleret med.

hvis GPG fortæller dig, at det er en dårlig signatur, blev installationsprogrammet manipuleret eller ødelagt.

import af offentlig nøgle fra en pålidelig kilde

Bemærk, at hvis programforfatteren fortæller dig sit offentlige nøgle-ID på hjemmesiden, kan du importere den offentlige nøgle med:

gpg --recv-keys <key-ID>

vis derefter fingeraftrykket med:

gpg --fingerprint <key-ID>

og sammenlign fingeraftrykket fra output med det, der er offentliggjort på hjemmesiden. Dette er mere sikkert, fordi den offentlige nøgle importeres fra en offentlig nøgleserver, som som standard er indstillet til hkp://keys.gnupg.net i ~/.gnupg/gpg.conf fil. Da alle de store nøgleservere kommunikerer med hinanden og synkroniserer nøgler, så du ikke behøver at ændre standard.

det er det!

jeg håber, at denne tutorial hjalp dig med at bekræfte PGP-underskrift af programoverførsler. Som altid, hvis du fandt dette indlæg nyttigt, så abonner på vores gratis nyhedsbrev eller følg os på Google+, kvidre eller lignende vores Facebook-side.

Bedøm denne tutorial