A PGP nemcsak az információk kiberfenyegetések elleni védelmére szolgál, hanem a fájlok integritásának ellenőrzésére is.
Ez az oktatóanyag könnyen elmagyarázza a PGP működését és hogyan lehet ellenőrizni a PGP aláírásokat .
Hogyan működik a PGP?
Az alábbi kép egy PGP nyilvános kulcsot ábrázol. Ez a PGP nyilvános kulcs csak egy privát PGP kulccsal dekódolható. Az alábbi nyilvános kulcs kibocsátója privát PGP -kulcsot is kibocsátott, mivel ugyanazon folyamat során keletkeznek. Csak a nyilvános kulcsot osztja meg.
Ha elviszi a nyilvános kulcsát az üzenet titkosításához, akkor képes lesz visszafejteni az üzenetet a privát kulcsa segítségével. Csak a privát kulcsa képes visszafejteni az üzenetet, amelyet a nyilvános kulcsa segítségével titkosított.
Az információkat a nyilvános kulccsal titkosítják, a titkos kulcs segítségével pedig visszafejtik. Ezt nevezik aszimmetrikus titkosítás .
Tehát még ha egy támadónak sikerül is elfognia az üzenetet a privát kulcs nélkül, nem látja az üzenet tartalmát.
Az aszimmetrikus titkosítás előnye a kulcscsere egyszerűsége. De hátránya, hogy nem tud nagy mennyiségű adatot titkosítani, és ezért a PGP mindkettőt megvalósítja.
Szimmetrikus titkosítást alkalmaznak, ha a nyilvános kulcsot használják a védett adatok titkosítására. A nyilvános kulccsal a feladó két dolgot tesz: először létrehozza a szimmetrikus titkosítást az adatok védelme érdekében, majd aszimmetrikus titkosítást alkalmaz, amely nem magát az adatot titkosítja, hanem a szimmetrikus kulcsot, amely védi az adatokat.
Technikailag a szimmetrikus kulcs alkalmazása előtt az adatokat is tömörítik, mielőtt a szimmetrikus kulccsal és a nyilvános kulccsal titkosítják. Az alábbi diagram a teljes folyamatot mutatja be:
PGP aláírások
A PGP a csomagok integritásának ellenőrzésére is szolgál. Ezt digitális aláírással érik el, ami PGP -vel is megtehető.
Először is, a PGP egy privát kulccsal titkosított kivonatot generál. A privát kulcs és a kivonat is visszafejthető a nyilvános kulccsal.
A PGP digitális aláírást hoz létre például egy ISO -képhez DSA vagy RSA algoritmusok használatával. Ebben az esetben a privát kulcs a szoftverhez vagy az ISO képhez van csatolva, ellentétben a korábban leírt művelettel. A nyilvános kulcs is megosztott.
A felhasználók a nyilvános kulcs segítségével ellenőrzik a kiadott szoftverhez csatolt aláírást.
Az alábbi diagramfolyamat bemutatja, hogy a privát kulcs és a kivonat hogyan van csatolva a szoftverhez, és hogyan veszi fel a felhasználó a szoftvert a mellékelt kivonattal és privát kulccsal együtt a nyilvános kulccsal az aláírás ellenőrzéséhez:
Hogyan ellenőrizhetem a PGP aláírást?
Az első példa bemutatja a Linux kernel aláírásának ellenőrzését. A kipróbáláshoz lépjen be https://kernel.org és töltse le a kernel verzióját és annak PGP fájlját. Ebben a példában fájlokat töltök le linux-5.12.7.tar.xz és linux-5.12.7.tar.sign .
Az első példa bemutatja, hogyan ellenőrizhető az aláírás egyetlen paranccsal. A man oldal szerint ez a lehetőségkombináció elavult lesz a jövőbeli verziókban. Azonban még mindig széles körben használják, és bár a konkrét kombináció elavult lesz, a lehetőségek megmaradnak.
Az első lehetőség –Kulcsszerver-opciók lehetővé teszi a nyilvános kulcsokat tároló kulcsszerver beállításainak meghatározását. Alapvetően ez lehetővé teszi a nyilvános kulcsok lekérési lehetőségeinek megvalósítását.
Az –Kulcsszerver-opciók kombinálva van a -automatikus kulcs-letöltés lehetőség arra, hogy az aláírások ellenőrzésekor automatikusan lekérje a nyilvános kulcsokat a kulcskiszolgálóról.
A nyilvános kulcsok megkereséséhez ez a parancs beolvassa az aláírást, amely meghatározott preferált kulcsszervert vagy aláíró azonosítóját keresi egy keresési folyamat során a Webkulcskönyvtár használatával.
gpg--kulcsszerver-opciókautomatikus kulcs-letöltés-ellenőrizzelinux-5.12.7.tar.sign 
Mint látható, az aláírás jó, de van egy figyelmeztető üzenet, amely szerint a gpg nem tudja megerősíteni, hogy az aláírás a tulajdonosé. Bárki nyilvános aláírást adhat ki Greg Krohan-Hartman néven. Tudja, hogy az aláírás jogos, mert megbízik abban a szerverben, ahonnan letöltötte. Ebben az esetben a kernel.org webhelyről letöltött .sign adja meg.
Ez a figyelmeztetés mindig jelen van, és ezt elkerülheti, ha aláírásokat ad hozzá az aláírás megbízható listájához az opció használatával -szerkesztett kulcsú bizalom . Az igazság az, hogy ezt egyetlen felhasználó sem teszi meg, és a Gpg közösség kérte a figyelmeztetés eltávolítását.
Az SHA256SUMS.gpg ellenőrzése
A következő példában ellenőrizni fogom a dobozomban talált régi Kali Linux kép integritását. Ebből a célból letöltöttem az azonos izo képhez tartozó SHA256SUMS.gpg és SHA256SUMS fájlokat.
Miután letöltött egy iso képet, az SHA256SUMS.gpg és SHA256SUMS, meg kell szereznie a nyilvános kulcsokat. A következő példában a gombokat használom wget és gpg - import (A Kali ellenőrzési utasítások erre a kulcsszerverre mutatnak.)
Ezután ellenőrzem a fájl integritását a gpg hívásával - ellenőrizze érv:
wget -q -VAGY- https://archive.kali.org/archív kulcs.asc|gpg-behozatalgpg-ellenőrizzeSHA256SUMS.gpg SHA256SUMS
Mint látható, az aláírás jó, és az ellenőrzés sikeres volt.
A következő példa bemutatja, hogyan ellenőrizheti a NodeJS letöltését. Az első parancs hibát ad vissza, mert nincs nyilvános kulcs. A hiba azt jelzi, hogy meg kell keresnem a 74F12602B6F1C4E913FAA37AD3A89613643B6201 kulcsot. Általában a kulcs azonosítóját is megtalálja az utasításokban.
Az opció használatával - kulcskulcs , Megadhatom a kiszolgálót a kulcs kereséséhez. Az opció használatával –Recv billentyűk , Előveszem a kulcsokat. Ezután az ellenőrzés működik:
gpg-ellenőrizzeSHASUMS256.txt.ascMásolom a lekérni kívánt kulcsot, majd futtatom:
gpg--kulcsszerverpool.sks-keyservers.net-recv billentyűk74F12602B6F1C4E913FAA37AD3A89613643B6201
gpg-ellenőrizzeSHASUMS256.txt.asc
Gpg kulcsok keresése:
Ha az automatikus kulcsok lekérése nem működik, és nem találja az ellenőrzésre vonatkozó utasításokat, akkor az opció segítségével kereshet a kulcsban egy kulcskiszolgálón -keresési kulcs .
gpg-keresési kulcs74F12602B6F1C4E913FAA37AD3A89613643B6201 
Mint látható, a kulcsot megtalálták. A lekérhető billentyű számának megnyomásával is előhívhatja.
Következtetés
A letöltések integritásának ellenőrzése megelőzhet súlyos problémákat, vagy megmagyarázhatja azokat, például ha a letöltött szoftver nem működik megfelelően. A gpg -vel végzett folyamat meglehetősen egyszerű, amint az fent látható, mindaddig, amíg a felhasználó megkapja az összes szükséges fájlt.
Az aszimmetrikus titkosítás vagy a nyilvános és privát kulcsokon alapuló titkosítás megértése alapvető követelmény az interneten való biztonságos interakcióhoz, például digitális aláírások használatával.
Remélem, hogy ez a PGP aláírásokról szóló oktatóanyag hasznos volt. Kövesse a Linux tippet, ha további Linux tippeket és oktatóanyagokat szeretne kapni.