Ako overím podpis PGP?

PGP sa používa nielen na zabezpečenie informácií pred kybernetickými hrozbami, ale aj na kontrolu integrity súborov.

Tento tutoriál ľahko vysvetľuje, ako funguje PGP a ako overiť podpisy PGP .

Ako funguje PGP

Nasledujúci obrázok zobrazuje verejný kľúč PGP. Tento verejný kľúč PGP je možné dešifrovať iba pomocou konkrétneho súkromného kľúča PGP. Vystavovateľ nižšie uvedeného verejného kľúča tiež vydal súkromný kľúč PGP, pretože sú generované v rovnakom procese. Zdieľa iba verejný kľúč.
Ak použijete jeho verejný kľúč na zašifrovanie správy, bude môcť správu dešifrovať pomocou svojho súkromného kľúča. Správu, ktorú ste zašifrovali, môžete dešifrovať iba pomocou jeho súkromného kľúča pomocou jeho verejného kľúča.

Informácie sú šifrované pomocou verejného kľúča a dešifrované pomocou súkromného kľúča. Toto sa volá asymetrické šifrovanie .

Takže aj keď sa útočníkovi podarí zachytiť správu bez súkromného kľúča, nemôže vidieť obsah správy.

Výhodou asymetrického šifrovania je jednoduchosť výmeny kľúčov. Ale jeho nevýhodou je, že nemôže šifrovať veľké množstvo dát, a preto PGP implementuje oba.

Symetrické šifrovanie sa používa vtedy, ak sa na šifrovanie chránených údajov používa verejný kľúč. Pri verejnom kľúči odosielateľ robí dve veci: najskôr vygeneruje symetrické šifrovanie na ochranu údajov a potom použije asymetrické šifrovanie, ktoré nešifruje samotné údaje, ale symetrický kľúč, ktorý chráni údaje.

Aby sme boli technickejší, pred použitím symetrického kľúča sa údaje pred šifrovaním symetrickým kľúčom a verejným kľúčom tiež skomprimujú. Nasledujúci priebeh grafu zobrazuje celý proces:

Podpisy PGP

PGP sa používa aj na kontrolu integrity balíkov. To sa dosahuje digitálnym podpisom, ktorý je možné vykonať pomocou PGP.

PGP najskôr vygeneruje hash, ktorý je šifrovaný súkromným kľúčom. Súkromný aj hašovací kľúč je možné dešifrovať pomocou verejného kľúča.

PGP vytvára digitálny podpis, napríklad pre obraz ISO, pomocou algoritmov DSA alebo RSA. V tomto prípade je súkromný kľúč pripojený k softvéru alebo obrazu ISO, na rozdiel od vyššie popísanej operácie. Verejný kľúč je tiež zdieľaný.

Používatelia používajú verejný kľúč na overenie podpisu pripojeného k vydanému softvéru.

Nasledujúci diagram grafu ukazuje, ako je súkromný kľúč a hash pripojený k softvéru a ako používateľ overuje podpis pomocou softvéru s priloženým hash a súkromným kľúčom:

Ako overím podpis PGP?

Prvý príklad ukazuje, ako overiť podpis jadra Linuxu. Ak to chcete vyskúšať, prihláste sa https://kernel.org a stiahnite si verziu jadra a jeho súbor PGP. V tomto prípade stiahnem súbory linux-5.12.7.tar.xz a linux-5.12.7.tar.sign .

Prvý príklad ukazuje, ako overiť podpis jediným príkazom. Podľa manuálovej stránky bude v budúcich verziách táto kombinácia možností zastaraná. Stále je však široko používaný a aj keď konkrétna kombinácia bude zastaraná, možnosti zostanú.

Prvá možnosť –Kľúčový server-možnosti umožňuje definovať možnosti pre server kľúčov, kde sú uložené verejné kľúče. V zásade to umožňuje implementáciu možností načítania verejných kľúčov.

The –Kľúčový server-možnosti je kombinovaný s –Auto-key-retrieve možnosť automatického načítania verejných kľúčov zo servera kľúčov pri overovaní podpisov.

Na nájdenie verejných kľúčov tento príkaz načíta podpis a hľadá definovaný preferovaný server kľúčov alebo ID podpisujúceho počas procesu vyhľadávania pomocou Web Key Directory.

Ako vidíte, podpis je dobrý, ale existuje varovná správa, že gpg nemôže potvrdiť, že podpis patrí vlastníkovi. Každý môže ako Greg Krohan-Hartman vydať verejný podpis. Viete, že podpis je legitímny, pretože dôverujete serveru, z ktorého ste ho stiahli. V tomto prípade je to uvedené v .sign stiahnutom z kernel.org.
Toto upozornenie je vždy k dispozícii a môžete sa mu vyhnúť pridaním podpisov do zoznamu dôveryhodných podpisov pomocou tejto možnosti –Dôvera na kľúč . Pravdou je, že to nerobí žiadny používateľ a komunita Gpg požiadala o odstránenie varovania.

Overuje sa SHA256SUMS.gpg

V nasledujúcom príklade overím integritu starého obrazu Kali Linux, ktorý som našiel vo svojom poli. Za týmto účelom som stiahol súbory SHA256SUMS.gpg a SHA256SUMS patriace k rovnakému obrazu ISO.

Akonáhle si stiahnete ISO obrázok, SHA256SUMS.gpg a SHA256SUMS, budete potrebovať verejné kľúče. V nasledujúcom príklade načítam kľúče pomocou wget a gpg - import (Odkaz na pokyny na overenie Kali na tento kľúčový server).

Potom overím integritu súboru zavolaním gpg pomocou príkazu - overiť argument:

Ako vidíte, podpis je dobrý a overenie bolo úspešné.

Nasledujúci príklad ukazuje, ako overiť sťahovanie NodeJS. Prvý príkaz vráti chybu, pretože neexistuje žiadny verejný kľúč. Chyba naznačuje, že musím vyhľadať kľúč 74F12602B6F1C4E913FAA37AD3A89613643B6201. ID kľúča zvyčajne nájdete aj v pokynoch.

Použitím možnosti - kľúčový server Môžem zadať server, ktorý má hľadať kľúč. Použitím možnosti –Recv-kľúče , Vyberám kľúče. Potom overenie funguje:

Skopírujem kľúč, ktorý potrebujem vyzdvihnúť, a potom spustím:

Hľadanie kľúčov gpg:

Ak nefunguje automatické načítanie kľúčov a nemôžete nájsť pokyny špecifické pre overenie, môžete kľúč vyhľadať v serveri s kľúčmi pomocou možnosti -vyhľadávací kľúč .

Ako vidíte, kľúč sa našiel. Môžete ho tiež načítať stlačením čísla kľúča, ktorý chcete načítať.

Záver

Overenie integrity sťahovania môže zabrániť vážnym problémom alebo ich vysvetliť, napríklad keď sťahovaný softvér nefunguje správne. Proces s gpg je celkom jednoduchý, ako je uvedené vyššie, pokiaľ používateľ dostane všetky potrebné súbory.

Pochopenie asymetrického šifrovania alebo šifrovania založeného na verejných a súkromných kľúčoch je základnou potrebou bezpečnej interakcie na internete, napríklad pomocou digitálnych podpisov.

Dúfam, že tento návod na podpisy PGP bol užitočný. Pokračujte v sledovaní Tipu pre Linux a získajte ďalšie tipy a návody pre Linux.