Kako mogu provjeriti PGP potpis?

PGP se ne koristi samo za zaštitu informacija od cyber prijetnji, već i za provjeru integriteta datoteka.

Ovaj vodič lako objašnjava kako PGP radi i kako provjeriti PGP potpise .

Kako PGP radi

Donja slika prikazuje javni ključ PGP -a. Ovaj PGP javni ključ može se dešifrirati samo s posebnim privatnim PGP ključem. Izdavatelj dolje navedenog javnog ključa izdao je i privatni PGP ključ jer se oni generiraju u istom procesu. Dijeli samo javni ključ.
Ako uzmete njegov javni ključ da mu šifrirate poruku, on će moći dešifrirati poruku koristeći svoj privatni ključ. Samo njegov privatni ključ može dešifrirati poruku koju ste šifrirali pomoću njegova javnog ključa.

Podaci se šifriraju javnim ključem, a dešifriraju privatnim ključem. Ovo se zove asimetrično šifriranje .

Dakle, čak i ako napadač uspije presresti poruku bez privatnog ključa, ne može vidjeti sadržaj poruke.

Prednost asimetričnog šifriranja je jednostavnost zamjene ključeva. No, njegov nedostatak je što ne može šifrirati velike količine podataka i zato PGP implementira oboje.

Simetrično šifriranje primjenjuje se kada se javni ključ koristi za šifriranje zaštićenih podataka. S javnim ključem pošiljatelj čini dvije stvari: prvo generira simetričnu enkripciju kako bi zaštitio podatke, a zatim primjenjuje asimetričnu enkripciju koja ne šifrira same podatke, već simetrični ključ koji štiti podatke.

Radi tehničke prirode, prije nego što se primijeni simetrični ključ, podaci se također komprimiraju prije šifriranja sa simetričnim ključem i javnim ključem. Sljedeći tok grafikona prikazuje cijeli proces:

PGP potpisi

PGP se također koristi za provjeru integriteta paketa. To se postiže digitalnim potpisom, što se može učiniti pomoću PGP -a.

Prvo, PGP generira raspršivanje koje je šifrirano privatnim ključem. I privatni ključ i raspršivanje mogu se dešifrirati pomoću javnog ključa.

PGP stvara digitalni potpis, na primjer, za ISO sliku pomoću DSA ili RSA algoritama. U tom slučaju, privatni ključ je pridružen softveru ili ISO slici, suprotno prethodno opisanoj operaciji. Javni ključ se također dijeli.

Korisnici koriste javni ključ za provjeru potpisa priloženog izdanom softveru.

Sljedeći tok grafikona prikazuje kako su privatni ključ i raspršivanje povezani s softverom i kako korisnik uzima softver s priloženim raspršivačem i privatnim ključem zajedno s javnim ključem za provjeru potpisa:

Kako mogu provjeriti PGP potpis?

Prvi primjer pokazuje kako provjeriti potpis jezgre Linuxa. Pristupite da biste isprobali https://kernel.org i preuzmite verziju jezgre i njezinu PGP datoteku. Za ovaj primjer, ja ću preuzeti datoteke linux-5.12.7.tar.xz i linux-5.12.7.tar.sign .

Prvi primjer pokazuje kako provjeriti potpis jednom naredbom. Prema man stranici, ova će se kombinacija opcija zastarjeti u budućim verzijama. Međutim, i dalje se široko koristi, a iako će određena kombinacija biti zastarjela, opcije će ostati.

Prva opcija –Opcije ključa poslužitelja omogućuje definiranje opcija za poslužitelj ključeva gdje su pohranjeni javni ključevi. U osnovi, to omogućuje implementaciju opcija dohvaćanja javnih ključeva.

The –Opcije ključa poslužitelja kombinira se sa –Automatsko dohvaćanje ključa mogućnost automatskog preuzimanja javnih ključeva s poslužitelja ključeva prilikom provjere potpisa.

Da bi se pronašli javni ključevi, ova naredba će čitati potpis tražeći definirani željeni poslužitelj ključeva ili ID potpisnika kroz postupak pretraživanja pomoću imenika web ključeva.

Kao što vidite, potpis je dobar, ali postoji poruka upozorenja koja kaže da gpg ne može potvrditi da potpis pripada vlasniku. Svatko može izdati javni potpis kao Greg Krohan-Hartman. Znate da je potpis legitiman jer vjerujete poslužitelju s kojeg ste ga preuzeli. U ovom slučaju, navedeno je u .znaku preuzetom s kernel.org.
Ovo je upozorenje uvijek prisutno i možete ga izbjeći dodavanjem potpisa na popis pouzdanih potpisa pomoću opcije –Pouzdanje ključa za uređivanje . Istina je da to ne radi nijedan korisnik, a zajednica Gpg zatražila je uklanjanje upozorenja.

Provjera SHA256SUMS.gpg

U sljedećem primjeru provjerit ću integritet stare slike Kali Linuxa koju sam našao u kutiji. U tu sam svrhu preuzeo datoteke SHA256SUMS.gpg i SHA256SUMS koje pripadaju istoj iso slici.

Nakon što preuzmete iso sliku, SHA256SUMS.gpg i SHA256SUMS, morate nabaviti javne ključeve. U sljedećem primjeru dohvaćam ključeve pomoću wget i gpg - uvoz (Kali upute za provjeru povezuju se s ovim poslužiteljem ključeva).

Zatim provjeravam integritet datoteke pozivom gpg sa - potvrditi argument:

Kao što vidite, potpis je dobar, a provjera uspješna.

Sljedeći primjer pokazuje kako provjeriti preuzimanje NodeJS -a. Prva naredba vraća pogrešku jer nema javnog ključa. Pogreška ukazuje na to da moram potražiti ključ 74F12602B6F1C4E913FAA37AD3A89613643B6201. Obično u uputama možete pronaći i ID ključa.

Korištenjem opcije - poslužitelj ključeva , Mogu odrediti poslužitelj za traženje ključa. Korištenjem opcije –Recv-ključevi , Dohvaćam ključeve. Tada provjera funkcionira:

Kopiram ključ koji moram dohvatiti, a zatim pokrećem:

Traženje gpg ključeva:

Ako automatsko dohvaćanje ključeva ne radi i ne možete pronaći upute za provjeru, ključ možete pretraživati ​​u poslužitelju ključeva pomoću opcije -ključ za pretraživanje .

Kao što vidite, ključ je pronađen. Također ga možete dohvatiti pritiskom na broj tipke koju želite dohvatiti.

Zaključak

Provjera integriteta preuzimanja može spriječiti ozbiljne probleme ili ih objasniti, na primjer, kada preuzeti softver ne radi ispravno. Postupak s gpg -om je prilično jednostavan, kao što je prikazano gore, sve dok korisnik dobije sve potrebne datoteke.

Razumijevanje asimetrične enkripcije ili šifriranja temeljenih na javnim i privatnim ključevima osnovna je potreba za sigurnom interakcijom na internetu, na primjer, pomoću digitalnih potpisa.

Nadam se da je ovaj vodič o PGP potpisima bio od pomoći. Slijedite Linux savjete za više savjeta i vodiča o Linuxu.