Как проверить подпись PGP загруженного программного обеспечения в Linux
Установка программного обеспечения в системе Linux обычно проходит гладко. В большинстве случаев вам придется использовать менеджер пакетов, такой как apt, dnf или Pacman, чтобы безопасно установить его из репозиториев вашего дистрибутива.
Однако в некоторых случаях пакет программного обеспечения может не быть включен в официальный репозиторий дистрибутива. В таких случаях приходится скачивать его с сайта производителя. Но насколько вы уверены, что пакет программного обеспечения не был подделан? Это вопрос, на который мы постараемся ответить. В этом руководстве мы сосредоточимся на том, как проверить подпись PGP загруженного пакета программного обеспечения в Linux.
PGP (Pretty Good Privacy) — криптографическое приложение, используемое для шифрования и подписи файлов. Большинство авторов программного обеспечения подписывают свои приложения с помощью программы PGP, например GPG (GNU Privacy Guard).
GPG — это криптографическая реализация OpenPGP, которая обеспечивает безопасную передачу данных, а также может использоваться для проверки целостности источника. Аналогичным образом вы можете использовать GPG для проверки подлинности загруженного программного обеспечения.
Проверка целостности загруженного программного обеспечения представляет собой 5-этапную процедуру, которая осуществляется в следующем порядке.
- Загрузка открытого ключа автора программного обеспечения.
- Проверка отпечатка ключа.
- Импорт открытого ключа.
- Загрузка файла подписи программного обеспечения.
- Проверьте файл подписи.
В этом руководстве мы будем использовать Tixati — программу однорангового обмена файлами — в качестве примера, чтобы продемонстрировать это. Мы уже загрузили пакет Debian с официальной страницы загрузки.
Проверьте PGP-подпись Tixati
Сразу же мы собираемся загрузить открытый ключ автора, который используется для проверки любых выпусков. Ссылка на ключ находится внизу страницы загрузок Tixati.
В командной строке получите открытый ключ с помощью команды wget, как показано.
wget https://www.tixati.com/tixati.key
Проверьте отпечаток открытого ключа
После загрузки ключа следующим шагом будет проверка отпечатка открытого ключа с помощью команды gpg, как показано.
gpg --show-keys tixati.key
Выделенный результат — это отпечаток открытого ключа.
Импортируйте ключ GPG
После того как мы проверим общедоступный отпечаток ключа, мы импортируем ключ GPG. Это нужно сделать только один раз.
gpg --import tixati.key
Загрузите файл подписи программного обеспечения
Затем мы загрузим файл подписи PGP, который находится рядом с пакетом Debian, как указано. Файл подписи имеет расширение .asc
.
wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc
Проверьте файл подписи
Наконец, проверьте целостность программного обеспечения с помощью файла подписи и пакета Debian, как показано.
gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb
Вывод третьей строки подтверждает, что Подпись принадлежит автору программного обеспечения, в данном случае Tixati Software Inc. В строке выше указан отпечаток пальца, который соответствует отпечатку открытого ключа. Это подтверждение PGP-подписи программного обеспечения.
Мы надеемся, что это руководство дало представление о том, как проверить PGP загруженного пакета программного обеспечения в Linux.