Wie überprüfe ich eine PGP -Signatur??

Wie überprüfe ich eine PGP -Signatur??
PGP (ziemlich gute Privatsphäre) ist ein öffentliches Schlüsselbasis-Kryptographieprogramm. PGP ergänzt symmetrisch-key mit asymmetrischen Tastenalgorithmen und macht diese Software zu einem hybriden kryptografischen System, das oft genannt wird Hybrid -Kryptosystem.

PGP wird nicht nur verwendet, um Informationen vor Cyber ​​-Bedrohungen zu sichern, sondern auch um die Integrität der Datei zu überprüfen.

In diesem Tutorial wird leicht erklärt, wie PGP funktioniert und wie PGP -Signaturen überprüft werden können.

Wie PGP funktioniert

Das folgende Bild zeigt einen öffentlichen PGP -Schlüssel. Dieser öffentliche PGP -Schlüssel kann nur mit einem bestimmten privaten PGP -Schlüssel entschlüsselt werden. Der Emittent des folgenden öffentlichen Schlüssels gab auch einen privaten PGP -Schlüssel heraus, da sie im selben Prozess generiert werden. Er teilt nur den öffentlichen Schlüssel.
Wenn Sie seinen öffentlichen Schlüssel übernehmen, um eine Nachricht an ihn zu verschlüsseln, kann er die Nachricht mit seinem privaten Schlüssel entschlüsseln können. Nur sein privater Schlüssel kann die Nachricht entschlüsseln, die Sie mit seinem öffentlichen Schlüssel verschlüsselt haben.

Die Informationen werden mit dem öffentlichen Schlüssel verschlüsselt und mit dem privaten Schlüssel entschlüsselt. Das nennt man Asymmetrische Verschlüsselung.

Selbst wenn ein Angreifer es schafft, die Nachricht ohne privaten Schlüssel abzufangen, kann er den Nachrichteninhalt nicht sehen.

Der Vorteil der asymmetrischen Verschlüsselung ist die Einfachheit, Schlüssel auszutauschen. Der Nachteil ist jedoch, dass es nicht große Datenmengen verschlüsseln kann, und deshalb implementiert PGP beide beide.

Die symmetrische Verschlüsselung wird angewendet, wenn der öffentliche Schlüssel zum Verschlüsseln der geschützten Daten verwendet wird. Mit dem öffentlichen Schlüssel macht der Absender zwei Dinge: Erzeugt zuerst die symmetrische Verschlüsselung zum Schutz der Daten und wendet dann eine asymmetrische Verschlüsselung an, die die Daten nicht selbst verschlüsselt, sondern den symmetrischen Schlüssel, der die Daten schützt.

Um technischer zu sein, bevor der symmetrische Schlüssel angewendet wird. Der folgende Diagrammfluss zeigt den gesamten Prozess:

PGP -Signaturen

PGP wird auch verwendet, um die Integrität der Pakete zu überprüfen. Dies wird durch digitale Signatur erreicht, die mit PGP erfolgen kann.

Erstens generiert PGP einen Hash, der mit dem privaten Schlüssel verschlüsselt ist. Sowohl privater Schlüssel als auch Hash können mit dem öffentlichen Schlüssel entschlüsselt werden.

PGP erstellt beispielsweise eine digitale Signatur für ein ISO -Bild mit DSA- oder RSA -Algorithmen. In diesem Fall wird der private Schlüssel entgegen der zuvor beschriebenen Operation an die Software oder das ISO -Bild angehängt. Der öffentliche Schlüssel wird ebenfalls geteilt.

Benutzer verwenden den öffentlichen Schlüssel, um die Signatur der freigegebenen Software zu überprüfen.

Der folgende Diagrammfluss zeigt, wie der private Schlüssel und der Hash an die Software angeschlossen sind und wie der Benutzer die Software mit dem angehängten Hash und dem privaten Schlüssel zusammen mit dem öffentlichen Schlüssel nimmt, um die Signatur zu überprüfen:

Wie überprüfe ich eine PGP -Signatur??

Das erste Beispiel zeigt, wie Sie die Linux -Kernel -Signatur überprüfen können. Um es zu versuchen, greifen Sie auf https: // kernel zu.org und laden Sie eine Kernelversion und ihre PGP -Datei herunter. In diesem Beispiel werde ich Dateien herunterladen Linux-5.12.7.Teer.xz Und Linux-5.12.7.Teer.Zeichen.

Das erste Beispiel zeigt, wie Sie die Signatur mit einem einzigen Befehl überprüfen können. Laut der Mannseite wird diese Optionskombination in zukünftigen Versionen veraltet sein. Es wird jedoch noch weit verbreitet, und während die spezifische Kombination veraltet ist, bleiben die Optionen weiterhin.

Die erste Option -Schlüsselerver-Optionen Ermöglicht das Definieren von Optionen für den KeyServer, in dem öffentliche Schlüssel gespeichert werden. Im Grunde ermöglicht dies die Implementierung von öffentlichen Schlüsseloptionen für öffentliche Schlüssel.

Der -Schlüsselerver-Optionen wird mit dem kombiniert -Auto-Key-Retieve Option zum automatischen Abrufen von öffentlichen Schlüssel aus einem Schlüsselerver bei der Überprüfung der Signaturen aus.

Um die öffentlichen Schlüssel zu finden.

GPG-KeyServer-Options Auto-Kee-Retrive-LINUX-5 verifizieren.12.7.Teer.Zeichen

Wie Sie sehen können, ist die Unterschrift gut, aber es gibt eine Warnmeldung, die besagt, dass GPG nicht bestätigen kann, dass die Unterschrift dem Eigentümer gehört. Jeder kann eine öffentliche Unterschrift als Greg Krohan-Hartman ausstellen. Sie wissen, dass die Signatur legitim ist, weil Sie dem Server vertrauen. In diesem Fall ist es in der angegeben .Zeichen vom Kernel heruntergeladen.Org.
Diese Warnung ist immer vorhanden, und Sie können sie vermeiden, indem Sie eine Signature -vertrauenswürdige Liste mit der Option hinzufügen -EDIT-KEY-Trust. Die Wahrheit ist, dass kein Benutzer dies tut, und die GPG -Community forderte die Warnentfernung an.

Überprüfung von SHA256Sums.gpg

Im folgenden Beispiel werde ich die Integrität eines alten Kali -Linux -Bilds überprüfen, das ich in meiner Box gefunden habe. Zu diesem Zweck habe ich die SHA256Sums heruntergeladen.GPG- und SHA256SUMS -Dateien, die zum gleichen ISO -Bild gehören.

Sobald Sie ein ISO -Image heruntergeladen haben, sind die SHA256Sums.GPG und SHA256Sums müssen Sie die öffentlichen Schlüssel erhalten. Im folgenden Beispiel hole ich die Tasten mithilfe wget Und gpg -import (Kali -Überprüfungsanweisungen Link zu diesem Schlüsselserver).

Dann überprüfe ich die Dateiintegrität, indem ich GPG mit dem aufruft -verifizieren Streit:

WGet -q -o -https: // Archiv.Kali.Org/Archivschlüssel.ASC | GPG -Import
GPG -SHA256SUMS.GPG SHA256SUMS

Wie Sie sehen können, ist die Signatur gut und die Überprüfung war erfolgreich.

Das folgende Beispiel zeigt, wie ein NodeJS -Download überprüft wird. Der erste Befehl gibt einen Fehler zurück, da es keinen öffentlichen Schlüssel gibt. Der Fehler zeigt an, dass ich nach dem Schlüssel suchen muss. Normalerweise finden Sie auch die Schlüssel -ID in den Anweisungen.

Durch Verwendung der Option -Schlüsselerver, Ich kann den Server angeben, um nach dem Schlüssel zu suchen. Durch Verwendung der Option -recv-keys, Ich hole Schlüssel. Dann funktioniert die Überprüfung:

GPG -Vermeuten Sie Shasums256.txt.ASC

Ich kopiere den Schlüssel, den ich holen muss, und dann renne ich:

GPG -KeyServer Pool.sks-keyserver.Netz-Recv-Keys
74F12602B6F1C4E913FAA37AD3A89613643B6201
GPG -Vermeuten Sie Shasums256.txt.ASC

Suchen Sie GPG -Tasten:

Wenn automatische Abrufschlüsse nicht funktioniert und Sie die verifizierungsspezifischen Anweisungen nicht finden können, können Sie den Schlüssel in einem Schlüsselerver mit der Option durchsuchen -Suchschlüssel.

GPG-Search-Key 74F12602B6F1C4E913FAA37AD3A89613643B6201

Wie Sie sehen können, wurde der Schlüssel gefunden. Sie können es auch abrufen, indem Sie die Anzahl der Taste drücken, die Sie abrufen möchten.

Abschluss

Die Überprüfung der Integrität von Downloads kann ernsthafte Probleme verhindern oder sie beispielsweise erläutern, wenn die heruntergeladene Software nicht richtig funktioniert. Der Vorgang mit GPG ist wie oben gezeigt ziemlich einfach, solange der Benutzer alle erforderlichen Dateien erhält.

Das Verständnis der asymmetrischen Verschlüsselung oder der öffentlichen und privaten Schlüsselbasis ist eine grundlegende Bedürfnis, beispielsweise im Internet sicher zu interagieren, indem Sie digitale Signaturen verwenden.

Ich hoffe, dieses Tutorial über PGP -Unterschriften war hilfreich. Verfolgen Sie den Hinweis für weitere Linux -Tipps und Tutorials weiterhin Linux -Hinweis.