Hvordan bekrefter jeg en PGP -signatur?
PGP brukes ikke bare til å sikre informasjon fra cybertrusler, men også for å sjekke integriteten.
Denne opplæringen forklarer enkelt hvordan PGP fungerer og hvordan du kan bekrefte PGP -signaturer.
Hvordan PGP fungerer
Bildet nedenfor viser en PGP -offentlig nøkkel. Denne PGP offentlige nøkkelen kan bare dekrypteres med en spesifikk privat PGP -nøkkel. Utstederen av den offentlige nøkkelen nedenfor utstedte også en privat PGP -nøkkel siden de er generert i samme prosess. Han deler bare den offentlige nøkkelen.
Hvis du tar hans offentlige nøkkel for å kryptere en melding til ham, vil han kunne dekryptere meldingen ved hjelp av sin private nøkkel. Bare hans private nøkkel kan dekryptere meldingen du krypterte ved hjelp av hans offentlige nøkkel.
Informasjonen er kryptert ved hjelp av den offentlige nøkkelen, og dekryptert ved hjelp av den private nøkkelen. Dette kalles Asymmetrisk kryptering.
Så selv om en angriper klarer å avskjære meldingen uten den private nøkkelen, kan han ikke se meldingsinnholdet.
Fordelen med asymmetrisk kryptering er enkelheten å utveksle nøkler. Men ulempen er at den ikke kan kryptere store datamengder, og det er derfor PGP implementerer begge.
Symmetrisk kryptering brukes når den offentlige nøkkelen brukes til å kryptere de beskyttede dataene. Med den offentlige nøkkelen gjør avsenderen to ting: genererer først den symmetriske krypteringen for å beskytte dataene, og deretter bruker den asymmetrisk kryptering, som ikke krypterer dataene i seg selv, men den symmetriske nøkkelen, som beskytter dataene.
For å være mer teknisk, før den symmetriske nøkkelen blir brukt, blir dataene også komprimert før de blir kryptert med den symmetriske nøkkelen og den offentlige nøkkelen. Følgende kartflyt viser hele prosessen:
PGP -signaturer
PGP brukes også til å sjekke pakkes integritet. Dette oppnås gjennom digital signatur, som kan gjøres med PGP.
Først genererer PGP en hasj som er kryptert med den private nøkkelen. Både privat nøkkel og hasj kan dekrypteres ved hjelp av den offentlige nøkkelen.
PGP oppretter en digital signatur, for eksempel for et ISO -bilde ved bruk av DSA- eller RSA -algoritmer. I dette tilfellet er den private nøkkelen knyttet til programvaren eller ISO -bildet, i motsetning til operasjonen beskrevet tidligere. Den offentlige nøkkelen deles også.
Brukere bruker den offentlige nøkkelen for å bekrefte signaturen som er knyttet til den utgitte programvaren.
Følgende kartflyt viser hvordan den private nøkkelen og hasj er knyttet til programvaren og hvordan brukeren tar programvaren med vedlagte hasj og privat nøkkel sammen med den offentlige nøkkelen for å bekrefte signaturen:
Hvordan bekrefter jeg en PGP -signatur?
Det første eksemplet viser hvordan du kan bekrefte Linux -kjernesignaturen. For å prøve det, få tilgang til https: // kjerne.org og last ned en kjerneversjon og dens PGP -fil. For dette eksemplet vil jeg laste ned filer Linux-5.12.7.tjære.xz og Linux-5.12.7.tjære.skilt.
Det første eksemplet viser hvordan du kan bekrefte signaturen med en enkelt kommando. I følge Man -siden vil denne alternativkombinasjonen bli utdatert i fremtidige versjoner. Imidlertid er den fremdeles mye brukt, og selv om den spesifikke kombinasjonen vil bli utdatert, vil alternativene forbli.
Det første alternativet -KeyServer-Options tillater å definere alternativer for nøkleren der offentlige nøkler er lagret. I utgangspunktet tillater dette implementering av offentlige nøkler som henter alternativer.
De -KeyServer-Options kombineres med -Auto-key-Retrieve Alternativ for automatisk å hente offentlige nøkler fra en nøkkelkonserver når du verifiserer signaturer.
For å finne de offentlige nøklene, vil denne kommandoen lese signaturen på jakt etter en definert foretrukket Keyserver eller signers ID gjennom en oppslagsprosess ved hjelp av Web Key Directory.
GPG-KeyServer-Options Auto-Key-Retrieve-Verify Linux-5.12.7.tjære.skilt
Som du kan se, er signaturen god, men det er en advarsel om at GPG ikke kan bekrefte at signaturen tilhører eieren. Hvem som helst kan utstede en offentlig signatur som Greg Krohan-Hartman. Du vet at signaturen er legitim fordi du stoler på serveren du har lastet ned den fra. I dette tilfellet er det spesifisert i .skilt lastet ned fra kjernen.org.
Denne advarselen er alltid til stede, og du kan unngå den ved å legge signaturer til en signatur -pålitelig liste ved å bruke alternativet -Rediger-nøkkel tillit. Sannheten er at ingen bruker gjør det, og GPG -samfunnet ba om fjerning av advarsel.
Verifisering av SHA256Sums.GPG
I det følgende eksemplet vil jeg bekrefte integriteten til et gammelt Kali Linux -bilde jeg fant i boksen min. For dette formålet lastet jeg ned Sha256Sums.GPG og SHA256SUMS -filer som tilhører samme ISO -bilde.
Når du har lastet ned et ISO -bilde, SHA256Sums.GPG, og Sha256Sums, du må få de offentlige nøklene. I det følgende eksemplet henter jeg nøklene ved hjelp av WGET og gpg -import (Kali verifiseringsinstruksjoner lenke til denne nøkkelserveren).
Da bekrefter jeg filintegriteten ved å ringe GPG med -bekrefte argument:
WGET -Q -O -https: // arkiv.Kali.org/arkiv-key.ASC | GPG -Import
GPG -Verify Sha256Sums.GPG SHA256SUMS
Som du kan se, er signaturen god, og bekreftelsen var vellykket.
Følgende eksempel viser hvordan du kan bekrefte en NodeJS -nedlasting. Den første kommandoen returnerer en feil fordi det ikke er noen offentlig nøkkel. Feilen indikerer at jeg må søke etter nøkkelen 74F12602B6F1C4E913FAA37AD3A89613643B6201. Vanligvis kan du også finne nøkkel -IDen i instruksjonene.
Ved å bruke alternativet -Keyserver, Jeg kan spesifisere serveren for å søke etter nøkkelen. Ved å bruke alternativet -RECV-Keys, Jeg henter nøkler. Da fungerer bekreftelsen:
GPG -Verify Shasums256.tekst.ASC
Jeg kopierer nøkkelen jeg trenger for å hente, og så løper jeg:
GPG -KeyServer Pool.SKS-KeyServers.Net-Recv-Keys
74F12602B6F1C4E913FAA37AD3A89613643B6201
GPG -Verify Shasums256.tekst.ASC
Søker GPG -nøkler:
Hvis automatisk henting av nøkler ikke fungerer og du ikke finner de verifiseringsspesifikke instruksjonene, kan du søke på nøkkelen i en KeyServer ved å bruke alternativet -Søk nøkkel.
GPG-Søk-Key 74F12602B6F1C4E913FAA37AD3A89613643B6201
Som du ser ble nøkkelen funnet. Du kan også hente den ved å trykke på antall tasten du vil hente.
Konklusjon
Å verifisere nedlastingens integritet kan forhindre alvorlige problemer eller forklare dem, for eksempel når nedlastet programvare ikke fungerer riktig. Prosessen med GPG er ganske enkel, som vist ovenfor, så lenge brukeren får alle nødvendige filer.
Å forstå asymmetrisk kryptering eller offentlige og private nøklerbaserte kryptering er et grunnleggende behov for å samhandle trygt på internett, for eksempel ved bruk av digitale signaturer.
Jeg håper denne opplæringen på PGP -signaturer var nyttig. Fortsett å følge Linux -hint for flere Linux -tips og opplæringsprogrammer.