Kuidas kontrollida PGP allkirja?

PGP -d kasutatakse mitte ainult teabe kaitsmiseks küberohtude eest, vaid ka failide terviklikkuse kontrollimiseks.

See õpetus selgitab lihtsalt, kuidas PGP töötab ja kuidas kontrollida PGP allkirju .

Kuidas PGP töötab

Alloleval pildil on kujutatud PGP avalikku võtit. Seda avalikku PGP -võtit saab dekrüpteerida ainult konkreetse privaatse PGP -võtmega. Allpool avaliku võtme väljaandja andis välja ka privaatse PGP -võtme, kuna need luuakse samas protsessis. Ta jagab ainult avalikku võtit.
Kui võtate sõnumi krüptimiseks tema avaliku võtme, saab ta sõnumi oma privaatvõtme abil dekrüpteerida. Ainult tema privaatvõti saab teie avaliku võtme abil krüptitud sõnumi dekrüpteerida.

Teave krüpteeritakse avaliku võtme abil ja dekrüpteeritakse privaatvõtme abil. Seda nimetatakse asümmeetriline krüptimine .

Nii et isegi kui ründajal õnnestub sõnum ilma privaatvõtmeta vahele võtta, ei näe ta sõnumi sisu.

Asümmeetrilise krüptimise eeliseks on võtmete vahetamise lihtsus. Kuid selle puuduseks on see, et see ei saa krüptida suuri andmemahtusid ja seetõttu rakendab PGP neid mõlemaid.

Sümmeetrilist krüptimist rakendatakse siis, kui kaitstud andmete krüptimiseks kasutatakse avalikku võtit. Avaliku võtmega teeb saatja kahte asja: esmalt genereerib andmete kaitsmiseks sümmeetrilise krüptimise ja seejärel rakendab asümmeetrilist krüptimist, mis ei krüpteeri andmeid ennast, vaid sümmeetrilist võtit, mis andmeid kaitseb.

Tehnilisemalt öeldes tihendatakse andmed enne sümmeetrilise võtme rakendamist ka enne sümmeetrilise võtme ja avaliku võtmega krüptimist. Järgmine graafik näitab kogu protsessi:

PGP allkirjad

PGP -d kasutatakse ka pakettide terviklikkuse kontrollimiseks. See saavutatakse digitaalallkirja abil, mida saab teha PGP abil.

Esiteks genereerib PGP räsi, mis on krüptitud privaatvõtmega. Nii privaatvõtit kui ka räsi saab avaliku võtme abil dekrüpteerida.

PGP loob digitaalse allkirja näiteks ISO -pildile, kasutades DSA või RSA algoritme. Sel juhul lisatakse privaatvõti tarkvarale või ISO -pildile, vastupidiselt eelnevalt kirjeldatud toimingule. Samuti jagatakse avalikku võtit.

Kasutajad kasutavad avaliku võtme abil vabastatud tarkvarale lisatud allkirja.

Järgmine graafiku voog näitab, kuidas privaatvõti ja räsi on tarkvara külge kinnitatud ning kuidas kasutaja võtab allkirja kinnitamiseks tarkvara koos lisatud räsi ja privaatvõtmega koos avaliku võtmega:

Kuidas kontrollida PGP allkirja?

Esimene näide näitab, kuidas kontrollida Linuxi kerneli allkirja. Proovimiseks avage https://kernel.org ja laadige alla kerneli versioon ja selle PGP -fail. Selle näite puhul laadin alla failid linux-5.12.7.tar.xz ja linux-5.12.7.tar.sign .

Esimene näide näitab, kuidas allkirja kontrollida ühe käsuga. Man -lehe andmetel kaotatakse see valikukombinatsioon tulevastes versioonides. Kuid seda kasutatakse endiselt laialdaselt ja kuigi konkreetne kombinatsioon aegub, jäävad valikud alles.

Esimene variant -võtmeserveri valikud võimaldab määratleda võtmeserveri valikud, kuhu avalikud võtmed on salvestatud. Põhimõtteliselt võimaldab see rakendada avalike võtmete toomise valikuid.

The -võtmeserveri valikud on kombineeritud -automaatne võtme allalaadimine võimalus allkirjade kontrollimisel võtmeserverist automaatselt avalikke võtmeid alla laadida.

Avalike võtmete leidmiseks loeb see käsk allkirja, mis otsib määratletud eelistatud võtmeserverit või allkirjastaja ID -d otsimisprotsessi abil, kasutades veebivõtmete kataloogi.

Nagu näete, on allkiri hea, kuid hoiatusteade ütleb, et gpg ei saa kinnitada, et allkiri kuulub omanikule. Igaüks saab avaliku allkirja anda Greg Krohan-Hartmanina. Teate, et allkiri on seaduslik, kuna usaldate serverit, kust olete selle alla laadinud. Sel juhul on see määratud kernel.org -st allalaaditud .sign -is.
See hoiatus on alati olemas ja saate seda vältida, lisades allkirjade allkirja usaldusväärsete loendisse, kasutades seda valikut -muutmisvõtme usaldus . Tõde on see, et ükski kasutaja seda ei tee ja Gpg kogukond taotles hoiatuse eemaldamist.

SHA256SUMS.gpg kontrollimine

Järgmises näites kontrollin oma kastist leitud vana Kali Linuxi pildi terviklikkust. Sel eesmärgil laadisin alla sama iso -pildi juurde kuuluvad failid SHA256SUMS.gpg ja SHA256SUMS.

Pärast iso -pildi SHA256SUMS.gpg ja SHA256SUMS allalaadimist peate hankima avalikud võtmed. Järgmises näites toon võtmed, kasutades wget ja gpg - import (Kali kinnitusjuhised viitavad sellele võtmeserverile).

Seejärel kontrollin faili terviklikkust, helistades gpg -ga - kontrollida argument:

Nagu näete, on allkiri hea ja kontrollimine õnnestus.

Järgmine näide näitab, kuidas NodeJS -i allalaadimist kontrollida. Esimene käsk tagastab vea, kuna puudub avalik võti. Viga näitab, et pean otsima võtit 74F12602B6F1C4E913FAA37AD3A89613643B6201. Tavaliselt leiate juhistest ka võtme ID.

Valikut kasutades - võtmeserver , Võin määrata serveri, kust võtit otsida. Valikut kasutades -tagasiklahvid , Võtan võtmed välja. Seejärel töötab kontroll:

Kopeerin toomiseks vajaliku võtme ja seejärel käivitan:

Gpg võtmete otsimine:

Kui võtmete automaatne toomine ei tööta ja te ei leia kinnituspõhiseid juhiseid, saate võtit otsida võtmeserverist, kasutades seda valikut -otsinguvõti .

Nagu näete, võti leiti. Samuti saate selle alla laadida, vajutades allalaaditava klahvi numbrit.

Järeldus

Allalaaditavate failide terviklikkuse kontrollimine võib tõsiseid probleeme ära hoida või neid selgitada, näiteks kui allalaaditud tarkvara ei tööta õigesti. Protsess gpg -ga on üsna lihtne, nagu ülal näidatud, kui kasutaja saab kõik vajalikud failid.

Asümmeetrilise krüptimise või avalike ja privaatvõtmetepõhise krüptimise mõistmine on põhivajadus turvaliseks suhtlemiseks Internetis, näiteks digitaalallkirjade abil.

Loodan, et see õpetus PGP allkirjade kohta oli kasulik. Järgige Linuxi näpunäiteid, et saada rohkem Linuxi näpunäiteid ja õpetusi.