Hvordan verificerer jeg en PGP -signatur?

How Do I Verify Pgp Signature



PGP (Pretty Good Privacy) er et offentligt nøglebaseret kryptografiprogram. PGP supplerer symmetric-key med asymmetric-key algoritmer, hvilket gør denne software til et hybrid kryptografisk system, ofte kaldet hybrid kryptosystem .

PGP bruges ikke kun til at sikre oplysninger mod cybertrusler, men også til at kontrollere filintegritet.







Denne vejledning forklarer let, hvordan PGP fungerer og hvordan man verificerer PGP -signaturer .



Sådan fungerer PGP

Billedet herunder viser en offentlig nøgle fra PGP. Denne offentlige PGP -nøgle kan kun dekrypteres med en bestemt privat PGP -nøgle. Udstederen af ​​den offentlige nøgle herunder udstedte også en privat PGP -nøgle, da de genereres i samme proces. Han deler kun den offentlige nøgle.
Hvis du tager hans offentlige nøgle til at kryptere en besked til ham, vil han være i stand til at dekryptere meddelelsen ved hjælp af sin private nøgle. Kun hans private nøgle kan dekryptere den besked, du krypterede ved hjælp af hans offentlige nøgle.







Oplysningerne krypteres ved hjælp af den offentlige nøgle og dekrypteres ved hjælp af den private nøgle. Dette kaldes asymmetrisk kryptering .

Så selvom en angriber formår at opfange beskeden uden den private nøgle, kan han ikke se beskedindholdet.



Fordelen ved asymmetrisk kryptering er enkelheden til at udveksle nøgler. Men dens ulempe er, at den ikke kan kryptere store datamængder, og derfor implementerer PGP dem begge.

Symmetrisk kryptering anvendes, når den offentlige nøgle bruges til at kryptere de beskyttede data. Med den offentlige nøgle gør afsenderen to ting: først genererer den symmetriske kryptering for at beskytte dataene, og derefter anvender den asymmetrisk kryptering, som ikke krypterer selve dataene, men den symmetriske nøgle, som beskytter dataene.

For at være mere teknisk, før den symmetriske nøgle anvendes, komprimeres dataene også, før de krypteres med den symmetriske nøgle og den offentlige nøgle. Følgende diagramforløb viser hele processen:

PGP -signaturer

PGP bruges også til at kontrollere pakkenes integritet. Dette opnås gennem digital signatur, som kan gøres med PGP.

For det første genererer PGP en hash, der er krypteret med den private nøgle. Både privat nøgle og hash kan dekrypteres ved hjælp af den offentlige nøgle.

PGP opretter f.eks. En digital signatur til et ISO -billede ved hjælp af DSA- eller RSA -algoritmer. I dette tilfælde er den private nøgle knyttet til softwaren eller ISO -billedet i modsætning til den tidligere beskrevne handling. Den offentlige nøgle deles også.

Brugere bruger den offentlige nøgle til at kontrollere signaturen, der er knyttet til den frigivne software.

Det følgende diagramflow viser, hvordan den private nøgle og hash er knyttet til softwaren, og hvordan brugeren tager softwaren med den vedhæftede hash og private nøgle sammen med den offentlige nøgle for at verificere signaturen:

Hvordan verificerer jeg en PGP -signatur?

Det første eksempel viser, hvordan man verificerer Linux -kernesignaturen. For at prøve det, få adgang https://kernel.org og download en kerneversion og dens PGP -fil. I dette eksempel vil jeg downloade filer linux-5.12.7.tar.xz og linux-5.12.7.tar.sign .

Det første eksempel viser, hvordan man bekræfter signaturen med en enkelt kommando. Ifølge man -siden vil denne valgmulighedskombination blive udfaset i fremtidige versioner. Det er dog stadig meget udbredt, og selvom den specifikke kombination vil blive forældet, forbliver mulighederne.

Den første mulighed –Nøgleserver-muligheder giver mulighed for at definere muligheder for nøgleserveren, hvor offentlige nøgler er gemt. Grundlæggende tillader dette implementering af offentlige nøgler til at hente muligheder.

Det –Nøgleserver-muligheder er kombineret med –Auto-key-retrieve mulighed for automatisk at hente offentlige nøgler fra en nøgleserver ved verificering af signaturer.

For at finde de offentlige nøgler læser denne kommando signaturen på udkig efter en defineret foretrukken nøgleserver eller underskriverens ID gennem en opslagsproces ved hjælp af Web Key Directory.

gpg--nøgleserver-mulighederautomatisk nøglehentning--verificerelinux-5.12.7.tar.sign

Som du kan se, er signaturen god, men der er en advarselsmeddelelse om, at gpg ikke kan bekræfte, at signaturen tilhører ejeren. Alle kan udstede en offentlig underskrift som Greg Krohan-Hartman. Du ved, at signaturen er legitim, fordi du har tillid til den server, du har downloadet den fra. I dette tilfælde er det angivet i .signet downloadet fra kernel.org.
Denne advarsel er altid til stede, og du kan undgå den ved at tilføje signaturer til en underskriftsliste, der er tillid til ved hjælp af indstillingen –Rediger nøgle tillid . Sandheden er, at ingen bruger gør det, og Gpg -fællesskabet anmodede om fjernelse af advarslen.

Bekræfter SHA256SUMS.gpg

I det følgende eksempel vil jeg kontrollere integriteten af ​​et gammelt Kali Linux -billede, jeg fandt i min boks. Til dette formål downloadede jeg SHA256SUMS.gpg og SHA256SUMS filer, der tilhører det samme iso -billede.

Når du har downloadet et iso -billede, SHA256SUMS.gpg og SHA256SUMS, skal du hente de offentlige nøgler. I det følgende eksempel henter jeg nøglerne ved hjælp af wget og gpg –import (Kali -verifikationsinstruktioner linker til denne nøgleserver).

Derefter bekræfter jeg filens integritet ved at ringe til gpg med -verificere argument:

wget -q -ELLER- https://arkiv.kali.org/arkiv-key.asc|gpg--importere

gpg--verificereSHA256SUMS.gpg SHA256SUMS

Som du kan se, er signaturen god, og verifikationen lykkedes.

Følgende eksempel viser, hvordan du verificerer en NodeJS -download. Den første kommando returnerer en fejl, fordi der ikke er nogen offentlig nøgle. Fejlen angiver, at jeg skal søge efter nøglen 74F12602B6F1C4E913FAA37AD3A89613643B6201. Normalt kan du også finde nøgle -id'et i vejledningen.

Ved at bruge indstillingen –Nøgleserver , Jeg kan angive serveren for at søge efter nøglen. Ved at bruge indstillingen –Recv-nøgler , Jeg henter nøgler. Så fungerer verifikationen:

gpg--verificereSHASUMS256.txt.asc

Jeg kopierer den nøgle, jeg skal hente, og derefter kører jeg:

gpg--nøgleserverpool.sks-keyservers.net--recv-nøgler

74F12602B6F1C4E913FAA37AD3A89613643B6201


gpg--verificereSHASUMS256.txt.asc

Søger efter gpg -taster:

Hvis automatisk hentning af nøgler ikke virker, og du ikke kan finde de verifikationsspecifikke instruktioner, kan du søge i nøglen i en nøgleserver ved hjælp af indstillingen –Søg-nøgle .

gpg--søgnøgle74F12602B6F1C4E913FAA37AD3A89613643B6201

Som du kan se, blev nøglen fundet. Du kan også hente den ved at trykke på nummeret på den tast, du vil hente.

Konklusion

Bekræftelse af downloads integritet kan forhindre alvorlige problemer eller forklare dem, for eksempel når downloadet software ikke fungerer korrekt. Processen med gpg er ret let, som vist ovenfor, så længe brugeren får alle de nødvendige filer.

At forstå asymmetrisk kryptering eller offentlige og private nøglebaserede kryptering er et grundlæggende behov for at interagere sikkert på internettet, for eksempel ved hjælp af digitale signaturer.

Jeg håber, at denne vejledning om PGP -signaturer var nyttig. Fortsæt med at følge Linux -tip for flere Linux -tips og selvstudier.