Kako provjeriti PGP potpis preuzetog softvera na Linuxu

Instaliranje softvera na Linux sistem obično prolazi glatko. U većini slučajeva, koristili biste upravitelja paketa kao što su apt, dnf ili Pacman da biste ga sigurno instalirali iz spremišta vaše distribucije.

U nekim slučajevima, međutim, softverski paket možda neće biti uključen u službeni repozitorij distribucije. U takvim situacijama, neko je primoran da ga preuzme sa veb lokacije prodavca. Ali koliko ste sigurni da softverski paket nije mijenjan? Ovo je pitanje na koje ćemo tražiti odgovor. U ovom vodiču fokusiramo se na to kako provjeriti PGP potpis preuzetog softverskog paketa u Linuxu.

PGP (Prilično dobra privatnost) je kriptografska aplikacija koja se koristi za šifriranje i potpisivanje datoteka. Većina autora softvera potpisuje svoje aplikacije koristeći PGP program, na primjer GPG (GNU Privacy Guard).

GPG je implementacija kriptografije OpenPGP i omogućava siguran prijenos podataka i također se može koristiti za provjeru integriteta izvora. Na sličan način, možete koristiti GPG da biste provjerili autentičnost preuzetog softvera.

Provjera integriteta preuzetog softvera je procedura u 5 koraka koja slijedi sljedeći redoslijed.

  • Preuzimanje javnog ključa autora softvera.
  • Provjera otiska prsta ključa.
  • Uvoz javnog ključa.
  • Preuzimanje datoteke potpisa softvera.
  • Provjerite datoteku potpisa.

U ovom vodiču ćemo koristiti Tixati – peer-to-peer program za dijeljenje datoteka – kao primjer da to demonstriramo. Već smo preuzeli Debian paket sa službene stranice za preuzimanje.

Provjerite PGP potpis Tixatija

Odmah ćemo preuzeti autorov javni ključ koji se koristi za provjeru svih izdanja. Veza do ključa nalazi se na dnu stranice za preuzimanje Tixatija.

Na komandnoj liniji zgrabite javni ključ koristeći komandu wget kao što je prikazano.

wget https://www.tixati.com/tixati.key

Provjerite otisak prsta javnog ključa

Nakon što se ključ preuzme, sljedeći korak je provjera otiska prsta javnog ključa pomoću gpg komande kao što je prikazano.

gpg --show-keys tixati.key

Označeni izlaz je otisak prsta javnog ključa.

Uvezite GPG ključ

Nakon što provjerimo javni otisak ključa, uvozit ćemo GPG ključ. Ovo je potrebno uraditi samo jednom.

gpg --import tixati.key

Preuzmite datoteku potpisa softvera

Zatim ćemo preuzeti datoteku PGP potpisa koja je neposredno uz Debian paket kao što je naznačeno. Datoteka potpisa ima ekstenziju datoteke .asc.

wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

Provjerite datoteku potpisa

Na kraju, provjerite integritet softvera koristeći datoteku potpisa i u odnosu na Debian paket kao što je prikazano.

gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

Izlaz trećeg reda potvrđuje da je Potpis od autora softvera, u ovom slučaju, Tixati Software Inc. Gornja linija daje otisak prsta koji odgovara otisku prsta javnog ključa. Ovo je potvrda PGP potpisa softvera.

Nadamo se da je ovaj vodič pružio uvid u to kako možete provjeriti PGP preuzetog softverskog paketa u Linuxu.