Kako preverim podpis PGP?

PGP se ne uporablja samo za zaščito informacij pred kibernetskimi grožnjami, ampak tudi za preverjanje celovitosti datotek.

Ta vadnica preprosto razloži, kako deluje PGP in kako preveriti podpise PGP .

Kako deluje PGP

Spodnja slika prikazuje javni ključ PGP. Ta javni ključ PGP je mogoče dešifrirati samo z določenim zasebnim ključem PGP. Izdajatelj javnega ključa spodaj je izdal tudi zasebni ključ PGP, saj so ustvarjeni v istem postopku. Delil je le javni ključ.
Če vzamete njegov javni ključ, da mu šifrirate sporočilo, bo lahko sporočilo dešifriral s svojim zasebnim ključem. Samo njegov zasebni ključ lahko dešifrira sporočilo, ki ste ga šifrirali z njegovim javnim ključem.

Podatki so šifrirani z javnim ključem in dešifrirani z zasebnim ključem. Temu se reče asimetrično šifriranje .

Torej tudi če napadalcu uspe prestreči sporočilo brez zasebnega ključa, ne vidi vsebine sporočila.

Prednost asimetričnega šifriranja je preprostost zamenjave ključev. Toda njegova pomanjkljivost je, da ne more šifrirati velikih količin podatkov, zato PGP oboje izvaja.

Simetrično šifriranje se uporablja, če se za šifriranje zaščitenih podatkov uporablja javni ključ. Pošiljatelj z javnim ključem naredi dve stvari: najprej ustvari simetrično šifriranje za zaščito podatkov, nato pa uporabi asimetrično šifriranje, ki ne šifrira samih podatkov, ampak simetrični ključ, ki ščiti podatke.

Če želimo biti bolj tehnični, se pred uporabo simetričnega ključa tudi podatki stisnejo, preden se šifrirajo s simetričnim ključem in javnim ključem. Naslednji tok grafikona prikazuje celoten postopek:

Podpisi PGP

PGP se uporablja tudi za preverjanje celovitosti paketov. To dosežemo z digitalnim podpisom, ki ga lahko naredimo s PGP.

Prvič, PGP ustvari razpršitev, ki je šifrirana z zasebnim ključem. Tako zasebni ključ kot razpršilnik lahko dešifrirate z javnim ključem.

PGP ustvari digitalni podpis, na primer za sliko ISO z uporabo algoritmov DSA ali RSA. V tem primeru je zasebni ključ pritrjen na programsko opremo ali sliko ISO, v nasprotju s prej opisanim postopkom. Javni ključ je tudi v skupni rabi.

Uporabniki z javnim ključem preverijo podpis, priložen izdani programski opremi.

Naslednji tok grafikona prikazuje, kako sta zasebni ključ in razpršilnik povezana s programsko opremo in kako uporabnik vzame programsko opremo s priloženim razpršilcem in zasebnim ključem skupaj z javnim ključem za preverjanje podpisa:

Kako preverim podpis PGP?

Prvi primer prikazuje, kako preveriti podpis jedra Linuxa. Če želite poskusiti, dostopajte https://kernel.org in naložite različico jedra in njeno datoteko PGP. V tem primeru bom prenesel datoteke linux-5.12.7.tar.xz in linux-5.12.7.tar.sign .

Prvi primer prikazuje, kako preveriti podpis z enim samim ukazom. Glede na man stran bo ta možnost v prihodnjih različicah opuščena. Vendar se še vedno pogosto uporablja in čeprav bo posebna kombinacija opuščena, bodo možnosti ostale.

Prva možnost –Ključne možnosti strežnika omogoča določanje možnosti za strežnik ključev, kjer so shranjeni javni ključi. V bistvu to omogoča izvajanje možnosti pridobivanja javnih ključev.

The –Ključne možnosti strežnika je v kombinaciji z -samodejno pridobivanje ključev možnost samodejnega pridobivanja javnih ključev iz strežnika ključev pri preverjanju podpisov.

Če želite poiskati javne ključe, bo ta ukaz prebral podpis in poiskal definiran prednostni strežnik ključev ali ID podpisnika skozi postopek iskanja z uporabo imenika spletnih ključev.

Kot vidite, je podpis dober, vendar obstaja opozorilno sporočilo, da gpg ne more potrditi, da podpis pripada lastniku. Vsakdo lahko izda javni podpis kot Greg Krohan-Hartman. Veste, da je podpis zakonit, ker zaupate strežniku, s katerega ste ga prenesli. V tem primeru je podano v .znaku, prenesenem iz kernel.org.
To opozorilo je vedno prisotno in temu se lahko izognete tako, da z možnostjo dodate podpise na seznam zaupanja vrednih podpisov –Zaupanje po ključu za urejanje . Resnica je, da tega ne počne noben uporabnik, zato je skupnost Gpg zahtevala odstranitev opozorila.

Preverjanje SHA256SUMS.gpg

V naslednjem primeru bom preveril celovitost stare podobe Kali Linuxa, ki sem jo našel v škatli. V ta namen sem prenesel datoteki SHA256SUMS.gpg in SHA256SUMS, ki pripadata isti iso sliki.

Ko naložite iso sliko, SHA256SUMS.gpg in SHA256SUMS, morate dobiti javne ključe. V naslednjem primeru dobim ključe z uporabo wget in gpg - uvoz (Navodila za preverjanje Kali so povezana s tem strežnikom ključev).

Nato preverim integriteto datoteke tako, da pokličem gpg z - preveri prepir:

Kot lahko vidite, je podpis dober in preverjanje je bilo uspešno.

Naslednji primer prikazuje, kako preveriti prenos NodeJS. Prvi ukaz vrne napako, ker ni javnega ključa. Napaka kaže, da moram poiskati ključ 74F12602B6F1C4E913FAA37AD3A89613643B6201. Običajno v navodilih najdete tudi ID ključa.

Z uporabo možnosti - strežnik tipk , Lahko določim strežnik za iskanje ključa. Z uporabo možnosti –Recv-ključi , Pridobivam ključe. Potem preverjanje deluje:

Kopiram ključ, ki ga moram pridobiti, in nato zaženem:

Iskanje tipk gpg:

Če samodejno pridobivanje ključev ne deluje in ne najdete navodil za preverjanje, lahko poiščete ključ v strežniku ključev z možnostjo -ključ za iskanje .

Kot lahko vidite, je bil ključ najden. Lahko ga pridobite tudi s pritiskom na številko tipke, ki jo želite pridobiti.

Zaključek

Preverjanje celovitosti prenosov lahko prepreči resne težave ali jih razloži, na primer, če prenesena programska oprema ne deluje pravilno. Postopek z gpg je precej enostaven, kot je prikazano zgoraj, dokler uporabnik dobi vse potrebne datoteke.

Razumevanje asimetričnega šifriranja ali šifriranja na podlagi javnih in zasebnih ključev je osnovna potreba po varni interakciji v internetu, na primer z uporabo digitalnih podpisov.

Upam, da vam je bila ta vadnica o podpisih PGP v pomoč. Sledite Linux Namigom za več nasvetov in vaj o Linuxu.