Поиск по сайту:

Как проверить подпись PGP загруженного программного обеспечения в Linux

Установка программного обеспечения в системе Linux обычно проходит гладко. В большинстве случаев вам придется использовать менеджер пакетов, такой как apt, dnf или Pacman, чтобы безопасно установить его из репозиториев вашего дистрибутива.

Однако в некоторых случаях пакет программного обеспечения может не быть включен в официальный репозиторий дистрибутива. В таких случаях приходится скачивать его с сайта производителя. Но насколько вы уверены, что пакет программного обеспечения не был подделан? Это вопрос, на который мы постараемся ответить. В этом руководстве мы сосредоточимся на том, как проверить подпись PGP загруженного пакета программного обеспечения в Linux.

PGP (Pretty Good Privacy) — криптографическое приложение, используемое для шифрования и подписи файлов. Большинство авторов программного обеспечения подписывают свои приложения с помощью программы PGP, например GPG (GNU Privacy Guard).

GPG — это криптографическая реализация OpenPGP, которая обеспечивает безопасную передачу данных, а также может использоваться для проверки целостности источника. Аналогичным образом вы можете использовать GPG для проверки подлинности загруженного программного обеспечения.

Проверка целостности загруженного программного обеспечения представляет собой 5-этапную процедуру, которая осуществляется в следующем порядке.

  • Загрузка открытого ключа автора программного обеспечения.
  • Проверка отпечатка ключа.
  • Импорт открытого ключа.
  • Загрузка файла подписи программного обеспечения.
  • Проверьте файл подписи.

В этом руководстве мы будем использовать Tixati — программу однорангового обмена файлами — в качестве примера, чтобы продемонстрировать это. Мы уже загрузили пакет Debian с официальной страницы загрузки.

Проверьте PGP-подпись Tixati

Сразу же мы собираемся загрузить открытый ключ автора, который используется для проверки любых выпусков. Ссылка на ключ находится внизу страницы загрузок Tixati.

В командной строке получите открытый ключ с помощью команды wget, как показано.

wget https://www.tixati.com/tixati.key

Проверьте отпечаток открытого ключа

После загрузки ключа следующим шагом будет проверка отпечатка открытого ключа с помощью команды gpg, как показано.

gpg --show-keys tixati.key

Выделенный результат — это отпечаток открытого ключа.

Импортируйте ключ GPG

После того как мы проверим общедоступный отпечаток ключа, мы импортируем ключ GPG. Это нужно сделать только один раз.

gpg --import tixati.key

Загрузите файл подписи программного обеспечения

Затем мы загрузим файл подписи PGP, который находится рядом с пакетом Debian, как указано. Файл подписи имеет расширение .asc.

wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

Проверьте файл подписи

Наконец, проверьте целостность программного обеспечения с помощью файла подписи и пакета Debian, как показано.

gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

Вывод третьей строки подтверждает, что Подпись принадлежит автору программного обеспечения, в данном случае Tixati Software Inc. В строке выше указан отпечаток пальца, который соответствует отпечатку открытого ключа. Это подтверждение PGP-подписи программного обеспечения.

Мы надеемся, что это руководство дало представление о том, как проверить PGP загруженного пакета программного обеспечения в Linux.