Kā pārbaudīt PGP parakstu?

PGP tiek izmantots ne tikai, lai aizsargātu informāciju no kiberdraudiem, bet arī lai pārbaudītu failu integritāti.

Šī apmācība viegli izskaidro PGP darbību un kā pārbaudīt PGP parakstus .

Kā darbojas PGP

Zemāk redzamajā attēlā ir attēlota PGP publiskā atslēga. Šo PGP publisko atslēgu var atšifrēt tikai ar īpašu privātu PGP atslēgu. Turpmāk publiskās atslēgas izdevējs izsniedza arī privātu PGP atslēgu, jo tās tiek ģenerētas vienā un tajā pašā procesā. Viņš koplieto tikai publisko atslēgu.
Ja paņemsiet viņa publisko atslēgu, lai viņam šifrētu ziņojumu, viņš varēs atšifrēt ziņojumu, izmantojot savu privāto atslēgu. Tikai viņa privātā atslēga var atšifrēt ziņojumu, kuru šifrējāt, izmantojot viņa publisko atslēgu.

Informācija tiek šifrēta, izmantojot publisko atslēgu, un atšifrēta, izmantojot privāto atslēgu. To sauc asimetriska šifrēšana .

Tātad, pat ja uzbrucējam izdodas pārtvert ziņojumu bez privātās atslēgas, viņš nevar redzēt ziņojuma saturu.

Asimetriskās šifrēšanas priekšrocība ir atslēgu apmaiņas vienkāršība. Bet tā trūkums ir tas, ka tas nevar šifrēt lielu datu apjomu, un tāpēc PGP tos abus īsteno.

Simetriska šifrēšana tiek piemērota, ja aizsargāto datu šifrēšanai tiek izmantota publiskā atslēga. Izmantojot publisko atslēgu, sūtītājs veic divas lietas: vispirms ģenerē simetrisko šifrēšanu, lai aizsargātu datus, un pēc tam piemēro asimetrisku šifrēšanu, kas šifrē nevis pašus datus, bet gan simetrisko atslēgu, kas aizsargā datus.

Tehniskāk sakot, pirms simetriskās atslēgas lietošanas dati tiek arī saspiesti, pirms tie tiek šifrēti ar simetrisko atslēgu un publisko atslēgu. Šī diagramma parāda visu procesu:

PGP paraksti

PGP tiek izmantots arī, lai pārbaudītu paku integritāti. Tas tiek panākts, izmantojot digitālo parakstu, ko var izdarīt ar PGP.

Pirmkārt, PGP ģenerē jaukšanu, kas ir šifrēta ar privāto atslēgu. Gan privāto atslēgu, gan hash var atšifrēt, izmantojot publisko atslēgu.

PGP izveido ciparparakstu, piemēram, ISO attēlam, izmantojot DSA vai RSA algoritmus. Šādā gadījumā privātā atslēga tiek pievienota programmatūrai vai ISO attēlam, pretēji iepriekš aprakstītajai darbībai. Tiek publiskota arī publiskā atslēga.

Lietotāji izmanto publisko atslēgu, lai pārbaudītu izdotajai programmatūrai pievienoto parakstu.

Tālāk redzamajā diagrammas plūsmā ir parādīts, kā programmatūrai ir pievienota privātā atslēga un jaucējkrāns un kā lietotājs ņem programmatūru ar pievienoto jauku un privāto atslēgu kopā ar publisko atslēgu, lai pārbaudītu parakstu:

Kā pārbaudīt PGP parakstu?

Pirmais piemērs parāda, kā pārbaudīt Linux kodola parakstu. Lai to izmēģinātu, piekļūstiet https://kernel.org un lejupielādējiet kodola versiju un tās PGP failu. Šajā piemērā es lejupielādēšu failus linux-5.12.7.tar.xz un linux-5.12.7.tar.sign .

Pirmais piemērs parāda, kā pārbaudīt parakstu ar vienu komandu. Saskaņā ar rokasgrāmatu, šī opciju kombinācija turpmākajās versijās tiks pārtraukta. Tomēr tas joprojām tiek plaši izmantots, un, lai gan konkrētā kombinācija tiks novecojusi, iespējas paliks.

Pirmais variants -atslēgu servera opcijas ļauj definēt iespējas atslēgu serverim, kurā tiek glabātas publiskās atslēgas. Būtībā tas ļauj ieviest publisko atslēgu ielādes iespējas.

The -atslēgu servera opcijas ir apvienota ar -automātiskā atslēga iespēja automātiski izgūt publiskās atslēgas no atslēgu servera, pārbaudot parakstus.

Lai atrastu publiskās atslēgas, šī komanda nolasīs parakstu, meklējot noteiktu vēlamo atslēgu serveri vai parakstītāja ID, izmantojot meklēšanas procesu, izmantojot tīmekļa atslēgu direktoriju.

Kā redzat, paraksts ir labs, taču ir brīdinājuma ziņojums, kurā teikts, ka gpg nevar apstiprināt, ka paraksts pieder īpašniekam. Ikviens var izdot publisku parakstu kā Gregs Krohans-Hartmans. Jūs zināt, ka paraksts ir likumīgs, jo uzticaties serverim, no kura to esat lejupielādējis. Šajā gadījumā tas ir norādīts .sign, kas lejupielādēts no kernel.org.
Šis brīdinājums ir vienmēr, un jūs varat no tā izvairīties, pievienojot parakstus uzticamo parakstu sarakstam, izmantojot opciju -uzticības rediģēšana . Patiesībā neviens lietotājs to nedara, un Gpg kopiena pieprasīja brīdinājuma noņemšanu.

Tiek pārbaudīts SHA256SUMS.gpg

Šajā piemērā es pārbaudīšu sava kastē atrastā vecā Kali Linux attēla integritāti. Šim nolūkam es lejupielādēju SHA256SUMS.gpg un SHA256SUMS failus, kas pieder vienam un tam pašam iso attēlam.

Kad esat lejupielādējis ISO attēlu, SHA256SUMS.gpg un SHA256SUMS, jums jāiegūst publiskās atslēgas. Nākamajā piemērā es ielādēju atslēgas, izmantojot wget un gpg - imports (Kali verifikācijas norādījumi ir saistīti ar šo atslēgu serveri).

Tad es pārbaudu faila integritāti, zvanot gpg ar - pārbaudīt arguments:

Kā redzat, paraksts ir labs, un pārbaude bija veiksmīga.

Šis piemērs parāda, kā pārbaudīt NodeJS lejupielādi. Pirmā komanda atgriež kļūdu, jo nav publiskās atslēgas. Kļūda norāda, ka man ir jāmeklē atslēga 74F12602B6F1C4E913FAA37AD3A89613643B6201. Parasti instrukcijās varat atrast arī atslēgas ID.

Izmantojot opciju - atslēgas serveris , Es varu norādīt serveri, kurā meklēt atslēgu. Izmantojot opciju -atsaukšanas taustiņi , Es paņemu atslēgas. Tad pārbaude darbojas:

Es nokopēju atslēgu, kas man jāiegūst, un tad palaižu:

Meklē gpg atslēgas:

Ja automātiskās izguves atslēgas nedarbojas un nevarat atrast norādījumus, kas attiecas uz verifikāciju, varat meklēt atslēgu atslēgu serverī, izmantojot opciju -meklēšanas atslēga .

Kā redzat, atslēga tika atrasta. To var arī ielādēt, nospiežot tās atslēgas numuru, kuru vēlaties ielādēt.

Secinājums

Pārbaudot lejupielādes integritāti, var novērst nopietnas problēmas vai tās izskaidrot, piemēram, ja lejupielādētā programmatūra nedarbojas pareizi. Process, izmantojot gpg, ir diezgan vienkāršs, kā parādīts iepriekš, ja vien lietotājs saņem visus nepieciešamos failus.

Asimetriskās šifrēšanas vai uz publisko un privāto atslēgu balstītās šifrēšanas izpratne ir pamatvajadzība drošai mijiedarbībai internetā, piemēram, izmantojot ciparparakstus.

Es ceru, ka šī apmācība par PGP parakstiem bija noderīga. Turpiniet sekot Linux padomam, lai iegūtu vairāk Linux padomu un pamācību.