Jak zweryfikować podpis PGP?
PGP służy nie tylko do zabezpieczenia informacji przed zagrożeniami cybernetyczną, ale także do sprawdzenia integralności plików.
Ten samouczek łatwo wyjaśnia, jak działa PGP i jak weryfikować podpisy PGP.
Jak działa PGP
Poniższy obraz przedstawia klucz publiczny PGP. Ten klucz publiczny PGP można odszyfrować tylko za pomocą określonego prywatnego klucza PGP. Emitent klucza publicznego poniżej wydał również prywatny klucz PGP, ponieważ są one generowane w tym samym procesie. Dzieli tylko klucz publiczny.
Jeśli weźmiesz jego klucz publiczny, aby zaszyfrować mu wiadomość, będzie mógł odszyfrować wiadomość za pomocą swojego klucza prywatnego. Tylko jego klucz prywatny może odszyfrować wiadomość zaszyfrowaną za pomocą jego klucza publicznego.
Informacje są szyfrowane za pomocą klucza publicznego i odszyfrowane za pomocą klucza prywatnego. To się nazywa Asymetryczne szyfrowanie.
Nawet jeśli atakującemu zdoła przechwycić wiadomość bez klucza prywatnego, nie jest w stanie zobaczyć treści wiadomości.
Zaletą asymetrycznego szyfrowania jest prostota wymiany kluczy. Ale jego wadą jest to, że nie może szyfrować dużych ilości danych i dlatego PGP implementuje obie z nich.
Symmetryczne szyfrowanie jest stosowane, gdy klucz publiczny jest używany do szyfrowania chronionych danych. Za pomocą klucza publicznego nadawca robi dwie rzeczy: najpierw generuje symetryczne szyfrowanie w celu ochrony danych, a następnie stosuje asymetryczne szyfrowanie, które nie szyfruje samych danych, ale klucz symetryczny, który chroni dane.
Aby być bardziej technicznym, przed zastosowaniem klucza symetrycznego dane są również kompresowane przed szyfrowaniem klucza symetrycznego i klucza publicznego. Poniższy przepływ wykresu pokazuje cały proces:
Podpisy PGP
PGP służy również do sprawdzania integralności pakietów. Osiąga się to poprzez podpis cyfrowy, który można wykonać za pomocą PGP.
Po pierwsze, PGP generuje skrót, który jest szyfrowany za pomocą klucza prywatnego. Zarówno klucz prywatny, jak i skrót można odszyfrować za pomocą klucza publicznego.
PGP tworzy na przykład podpis cyfrowy dla obrazu ISO za pomocą algorytmów DSA lub RSA. W takim przypadku klucz prywatny jest dołączony do oprogramowania lub obrazu ISO, w przeciwieństwie do opisanej wcześniej. Klucz publiczny jest również udostępniany.
Użytkownicy używają klucza publicznego do weryfikacji podpisu dołączonego do wydanego oprogramowania.
Poniższy przepływ wykresu pokazuje, w jaki sposób klucz prywatny i skrót jest dołączony do oprogramowania i w jaki sposób użytkownik przyjmuje oprogramowanie z załączonym skrótem i kluczem prywatnym wraz z kluczem publicznym, aby zweryfikować podpis:
Jak zweryfikować podpis PGP?
Pierwszy przykład pokazuje, jak zweryfikować podpis jądra Linux. Aby go wypróbować, uzyskaj dostęp do https: // jądro.org i pobierz wersję jądra i jej plik PGP. W tym przykładzie pobieram pliki Linux-5.12.7.smoła.xz I Linux-5.12.7.smoła.podpisać.
Pierwszy przykład pokazuje, jak zweryfikować podpis za pomocą jednego polecenia. Zgodnie ze stroną Man, ta kombinacja opcji zostanie przestarzała w przyszłych wersjach. Jednak nadal jest powszechnie używany i chociaż konkretna kombinacja zostanie przestarzała, opcje pozostaną.
Pierwsza opcja -Opcje klawiszy umożliwia definiowanie opcji dla klawisza, w którym przechowywane są klucze publiczne. Zasadniczo pozwala to na wdrożenie opcji pobierania kluczy publicznych.
-Opcje klawiszy jest połączony z -Auto-key-retrive Opcja automatycznego pobierania kluczy publicznych z klawisza podczas weryfikacji podpisów.
Aby znaleźć klawisze publiczne, to polecenie przeczyta podpis poszukiwania określonego preferowanego klawisza lub identyfikatora sygnatera za pomocą procesu wyszukiwania za pomocą katalogu kluczy Web Key.
GPG-KeyServer-Options Auto-Key-Retrieve-Weryfy Linux-5.12.7.smoła.podpisać
Jak widać, podpis jest dobry, ale jest wiadomość ostrzegawcza, że GPG nie może potwierdzić, że podpis należy do właściciela. Każdy może wydać podpis publiczny jako Greg Krohan-Hartman. Wiesz, że podpis jest uzasadniony, ponieważ ufasz serwerowi, z którego go pobrałeś. W takim przypadku jest to określone w .Znak pobrany z jądra.org.
To ostrzeżenie jest zawsze obecne i możesz go uniknąć, dodając podpisy do podpisanej listy za pomocą opcji -edycja zaufania. Prawda jest taka, że nie ma tego użytkownika, a społeczność GPG poprosiła o usunięcie ostrzegawczy.
Weryfikacja SHA256Sums.GPG
W poniższym przykładzie zweryfikuję integralność starego obrazu Kali Linux, który znalazłem w moim pudełku. W tym celu pobrałem SHA256Sums.Pliki GPG i SHA256Sums należące do tego samego obrazu ISO.
Po pobraniu obrazu ISO, SHA256Sums.GPG i SHA256Sums, musisz zdobyć klucze publiczne. W poniższym przykładzie pobieram klucze za pomocą wget I GPG -import (Instrukcje weryfikacji Kali Link do tego kluczowego serwera).
Następnie weryfikuję integralność pliku, wywołując GPG z -zweryfikować argument:
wget -q -o -https: // archiwum.Kali.org/archiwum.ASC | GPG -Import
GPG -Weryfy SHA256Sums.GPG SHA256Sums
Jak widać, podpis jest dobry, a weryfikacja zakończyła się sukcesem.
Poniższy przykład pokazuje, jak zweryfikować pobieranie nodejs. Pierwsze polecenie zwraca błąd, ponieważ nie ma klucza publicznego. Błąd wskazuje, że muszę wyszukać klucz 74F12602B6F1C4E913FAA37AD3A89613643B6201. Zwykle można również znaleźć kluczowy identyfikator w instrukcjach.
Korzystając z opcji -Keyserver, Mogę określić serwer, aby wyszukać klucz. Korzystając z opcji -Keysy, Odzyskam klucze. Następnie działa weryfikacja:
GPG -Weryfy Shasums256.tekst.Asc
Kopiuję klucz, który muszę pobrać, a następnie biegam:
GPG -Keyserver Pool.SKS-Keyservers.Net--Recv-Keys
74F12602B6F1C4E913FAA37AD3A89613643B6201
GPG -Weryfy Shasums256.tekst.Asc
Wyszukiwanie klawiszy GPG:
Jeśli automatyczne pobieranie klawiszy nie działa i nie możesz znaleźć instrukcji specyficznych dla weryfikacji, możesz wyszukać klawisz w klawisze za pomocą opcji -Wyszukiwarka.
GPG--Search-Key 74F12602B6F1C4E913FAA37AD3A89613643B6201
Jak widać, znaleziono klucz. Możesz go również odzyskać, naciskając liczbę klawisza, który chcesz odzyskać.
Wniosek
Weryfikacja integralności pobrań może zapobiec poważnym problemom lub wyjaśnić je, na przykład, gdy pobierane oprogramowanie nie działa poprawnie. Proces z GPG jest dość łatwy, jak pokazano powyżej, o ile użytkownik otrzyma wszystkie niezbędne pliki.
Zrozumienie asymetrycznego szyfrowania lub szyfrowania klawiszy publicznych i prywatnych to podstawowa potrzeba bezpiecznej interakcji w Internecie, na przykład za pomocą podpisów cyfrowych.
Mam nadzieję, że ten samouczek na temat podpisów PGP był pomocny. Kontynuuj podążaj za Linux, aby uzyskać więcej wskazówek i samouczków Linux.