Hvernig á að staðfesta PGP undirskrift niðurhalaðs hugbúnaðar á Linux

Þegar hugbúnaður er settur upp á Linux kerfi er venjulega slétt ferð. Í flestum tilfellum myndirðu nota pakkastjóra eins og dnf eða Pacman til að setja það upp á öruggan hátt frá geymslum dreifingarinnar.

Í sumum tilfellum gæti hugbúnaðarpakki þó ekki verið innifalinn í opinberri geymslu dreifingarinnar. Í slíkum tilfellum neyðist maður til að hlaða því niður af vefsíðu seljanda. En hversu viss ertu um að ekki hafi verið átt við hugbúnaðarpakkann? Þetta er spurningin sem við munum leitast við að svara. Í þessari handbók leggjum við áherslu á hvernig á að staðfesta PGP undirskrift niðurhalaðs hugbúnaðarpakka í Linux.

PGP (Pretty Good Privacy) er dulritunarforrit notað til að dulkóða og undirrita skrár. Flestir hugbúnaðarhöfundar skrifa undir forrit sín með því að nota PGP forritið til dæmis GPG (GNU Privacy Guard).

GPG er dulmálsútfærsla OpenPGP og það gerir örugga sendingu gagna og einnig er hægt að nota það til að sannreyna heilleika upprunans. Á svipaðan hátt geturðu notað GPG til að sannreyna áreiðanleika niðurhalaðs hugbúnaðar.

Sannprófun á heilleika niðurhalaðs hugbúnaðar er 5 þrepa aðferð sem tekur eftirfarandi röð.

  • Hlaðið niður opinberum lykli höfundar hugbúnaðarins.
  • Athugaðu fingrafar lykilsins.
  • Að flytja inn opinbera lykilinn.
  • Hlaðið niður undirskriftarskrá hugbúnaðarins.
  • Staðfestu undirskriftarskrána.

Í þessari handbók munum við nota Tixati – jafningja-til-jafningja deilingarforrit – sem dæmi til að sýna fram á þetta. Nú þegar höfum við hlaðið niður Debian pakkanum af opinberu niðurhalssíðunni.

Staðfestu PGP undirskrift Tixati

Strax ætlum við að hlaða niður almenningslykli höfundarins sem er notaður til að staðfesta allar útgáfur. Hlekkurinn á lykilinn er að finna neðst á Tixati niðurhalssíðunni.

Á skipanalínunni skaltu grípa almenna lykilinn með því að nota wget skipunina eins og sýnt er.

$ wget https://www.tixati.com/tixati.key

Athugaðu fingrafar almenningslykilsins

Þegar lyklinum hefur verið hlaðið niður er næsta skref að athuga fingrafar almenningslykilsins með því að nota gpg skipunina eins og sýnt er.

$ gpg --show-keys tixati.key

Merkt úttakið er fingrafar almenningslykilsins.

Flyttu inn GPG lykilinn

Þegar við höfum athugað opinbert fingrafar lykilsins munum við flytja inn GPG lykilinn. Þetta þarf aðeins að gera einu sinni.

$ gpg --import tixati.key

Sækja undirskriftarskrá hugbúnaðarins

Næst munum við hlaða niður PGP undirskriftarskránni sem er bara við hlið Debian pakkans eins og tilgreint er. Undirskriftarskráin ber .asc skráarendingu.

$ wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

Staðfestu undirskriftarskrána

Að lokum skaltu staðfesta heilleika hugbúnaðarins með því að nota undirskriftarskrána og gegn Debian pakkanum eins og sýnt er.

$ gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

Úttak þriðju línunnar staðfestir að undirskriftin er frá höfundi hugbúnaðarins, í þessu tilviki, Tixati Software Inc. Línan hér að ofan gefur upp fingrafarið sem passar við fingrafar almenningslykilsins. Þetta er staðfesting á PGP undirskrift hugbúnaðarins.

Við vonum að þessi handbók hafi veitt innsýn í hvernig þú getur farið að því að sannreyna PGP niðurhalaðs hugbúnaðarpakka í Linux.