Jak zweryfikować podpis PGP pobranego oprogramowania w Linux
- 3544
- 1115
- Ignacy Modzelewski
Podczas instalowania oprogramowania w systemie Linux to zwykle płynna jazda. W większości przypadków używałbyś menedżera pakietów, takiego jak APT, DNF, lub Pacman Aby bezpiecznie go zainstalować z repozytoriów dystrybucji.
W niektórych przypadkach jednak pakiet oprogramowania nie może być uwzględniony w oficjalnym repozytorium dystrybucji. W takich scenariuszach jest zmuszony pobrać go ze strony internetowej dostawcy. Ale jak jesteś pewien, że pakiet oprogramowania nie był manipulowany? To pytanie, na które będziemy starać się odpowiedzieć. W tym przewodniku skupiamy się na tym, jak weryfikować podpis PGP pobranego pakietu oprogramowania w Linux.
PGP (Całkiem dobra prywatność) to aplikacja kryptograficzna używana do szyfrowania i podpisywania plików. Większość autorów oprogramowania podpisuje swoje aplikacje na przykład za pomocą programu PGP GPG (GNU Prywatność).
GPG jest implementacją kryptografii OpenPGP i umożliwia bezpieczną transmisję danych i może być również użyte do weryfikacji integralności źródła. W podobny sposób możesz wykorzystać GPG, aby zweryfikować autentyczność pobranego oprogramowania.
Weryfikacja integralności pobranego oprogramowania to 5-etapowa procedura, która przyjmuje następujące zamówienie.
- Pobieranie klucza publicznego autora oprogramowania.
- Sprawdzanie odcisku palca klucza.
- Import klucza publicznego.
- Pobieranie podpisu oprogramowania.
- Sprawdź plik podpisu.
W tym przewodniku będziemy używać Tixati - Program udostępniania plików peer-to-peer-jako przykład, aby to zademonstrować. Już pobraliśmy pakiet Debian ze strony oficjalnych pobierania.
Sprawdź podpis PGP Tixati
Zaraz nietoperza pobramy klucz publiczny autora, który jest używany do weryfikacji wszelkich wydań. Link do klucza znajduje się na dole strony pobierania Tixati.
Klucz Tixati GPG W wierszu poleceń chwyć klawisz publiczny za pomocą polecenia WGET, jak pokazano.
$ wget https: // www.tixati.com/tixati.klucz
Sprawdź odcisk palca klucza publicznego
Po pobraniu klucza następnym krokiem jest sprawdzenie odcisku palca klucza publicznego za pomocą Polecenie GPG jak pokazano.
$ GPG-Show-Keys tixati.klucz
Podświetlone wyjście to odcisk palca klucza publicznego.
Sprawdź odcisk palca klucza publicznego Zaimportuj klucz GPG
Po sprawdzeniu publicznego odcisku palca klucza zaimportujemy klucz GPG. Trzeba to zrobić tylko raz.
$ gpg -import tixati.klucz
Importuj klucz GPG Pobierz plik podpisu oprogramowania
Następnie pobieramy plik podpisu PGP, który jest przylegający do pakietu Debiana, jak wskazano. Plik podpisu nosi .Asc rozszerzenie pliku.
Pobierz plik podpisu PGP $ wget https: // pobierz 2.tixati.com/Download/tixati_2.84-1_AMD64.Deb.Asc
Pobierz plik podpisu PGP Sprawdź plik podpisu
Wreszcie, zweryfikuj integralność oprogramowania za pomocą pliku podpisu i w stosunku do pakietu Debiana, jak pokazano.
$ gpg --verify tixati_2.84-1_AMD64.Deb.ASC tixati_2.84-1_AMD64.Deb
Sprawdź plik podpisu PGP Wyjście trzeciej linii potwierdza, że Podpis w tym przypadku pochodzi od autora oprogramowania, Tixati Software Inc. Powyższa linia zapewnia odcisk palca, który pasuje do odcisku palca klucza publicznego. To jest potwierdzenie podpisu PGP oprogramowania.
Mamy nadzieję, że ten przewodnik dostarczył wglądu w to, jak możesz weryfikować PGP pobranego pakietu oprogramowania w Linux.
- « Jak zainstalować i używać ProtonVPN na komputerach stacjonarnych
- Elementary OS - Linux Distro dla użytkowników Windows i MacOS »