Bir PGP İmzasını Nasıl Doğrularım?

PGP yalnızca bilgileri siber tehditlerden korumak için değil, aynı zamanda dosya bütünlüğünü kontrol etmek için de kullanılır.

Bu öğretici, PGP'nin nasıl çalıştığını ve PGP imzaları nasıl doğrulanır .

PGP Nasıl Çalışır?

Aşağıdaki resim bir PGP ortak anahtarını göstermektedir. Bu PGP genel anahtarının şifresi yalnızca belirli bir özel PGP anahtarı ile çözülebilir. Aşağıdaki genel anahtarı veren, aynı süreçte oluşturuldukları için özel bir PGP anahtarı da yayınladı. Yalnızca ortak anahtarı paylaşır.
Bir mesajı şifrelemek için onun genel anahtarını alırsanız, özel anahtarını kullanarak mesajın şifresini çözebilir. Sadece onun özel anahtarı, onun genel anahtarını kullanarak şifrelediğiniz mesajın şifresini çözebilir.

Bilgiler, genel anahtar kullanılarak şifrelenir ve özel anahtar kullanılarak şifresi çözülür. buna denir asimetrik şifreleme .

Bu nedenle, bir saldırgan özel anahtar olmadan mesajı engellemeyi başarsa bile, mesaj içeriğini göremez.

Asimetrik şifrelemenin avantajı, anahtarları değiştirmenin basitliğidir. Ancak dezavantajı, büyük miktarda veriyi şifreleyememesidir ve bu nedenle PGP her ikisini de uygular.

Simetrik şifreleme, korunan verileri şifrelemek için ortak anahtar kullanıldığında uygulanır. Genel anahtarla gönderici iki şey yapar: önce verileri korumak için simetrik şifrelemeyi oluşturur ve ardından verileri şifrelemeyen asimetrik şifrelemeyi uygular, ancak verileri koruyan simetrik anahtar.

Daha teknik olmak gerekirse, simetrik anahtar uygulanmadan önce veriler simetrik anahtar ve açık anahtar ile şifrelenmeden önce de sıkıştırılır. Aşağıdaki grafik akışı tüm süreci gösterir:

PGP İmzaları

PGP, paketlerin bütünlüğünü kontrol etmek için de kullanılır. Bu, PGP ile yapılabilen dijital imza ile sağlanır.

İlk olarak, PGP özel anahtarla şifrelenmiş bir karma oluşturur. Hem özel anahtar hem de karma, genel anahtar kullanılarak çözülebilir.

PGP, örneğin DSA veya RSA algoritmalarını kullanarak bir ISO görüntüsü için dijital bir imza oluşturur. Bu durumda özel anahtar, daha önce açıklanan işlemin aksine yazılıma veya ISO Görüntüsüne eklenir. Ortak anahtar da paylaşılır.

Kullanıcılar, yayınlanan yazılıma eklenen imzayı doğrulamak için ortak anahtarı kullanır.

Aşağıdaki grafik akışı, özel anahtarın ve karmanın yazılıma nasıl eklendiğini ve kullanıcının imzayı doğrulamak için ekli karma ve özel anahtarla birlikte yazılımı ortak anahtarla birlikte nasıl aldığını gösterir:

Bir PGP İmzasını Nasıl Doğrularım?

İlk örnek, Linux çekirdek imzasının nasıl doğrulanacağını gösterir. Denemek için erişin https://kernel.org ve bir çekirdek sürümünü ve PGP dosyasını indirin. Bu örnek için dosyaları indireceğim linux-5.12.7.tar.xz ve linux-5.12.7.tar.işareti .

İlk örnek, imzanın tek bir komutla nasıl doğrulanacağını gösterir. Kılavuz sayfasına göre, bu seçenek kombinasyonu gelecek sürümlerde kullanımdan kaldırılacaktır. Bununla birlikte, hala yaygın olarak kullanılmaktadır ve belirli kombinasyon kullanımdan kaldırılacak olsa da seçenekler kalacaktır.

ilk seçenek –anahtar sunucusu-seçenekleri ortak anahtarların depolandığı anahtar sunucusu için seçeneklerin tanımlanmasına izin verir. Temel olarak, bu, genel anahtar alma seçeneklerinin uygulanmasına izin verir.

NS –anahtar sunucusu-seçenekleri ile birleştirilir –otomatik anahtar alma imzaları doğrularken bir anahtar sunucusundan ortak anahtarları otomatik olarak alma seçeneği.

Genel anahtarları bulmak için bu komut, Web Anahtar Dizini'ni kullanarak bir arama işlemi aracılığıyla tanımlanmış bir tercih edilen anahtar sunucusu veya imzalayanın kimliğini arayan imzayı okuyacaktır.

Gördüğünüz gibi imza iyi ama gpg imzanın sahibine ait olduğunu onaylayamıyor diye bir uyarı mesajı var. Herkes Greg Krohan-Hartman olarak kamuya açık bir imza verebilir. İmzayı indirdiğiniz sunucuya güvendiğiniz için imzanın meşru olduğunu biliyorsunuz. Bu durumda, kernel.org'dan indirilen .sign'da belirtilir.
Bu uyarı her zaman mevcuttur ve seçeneği kullanarak imza güvenilir listesine imzalar ekleyerek bundan kaçınabilirsiniz. –düzenleme anahtarı güveni . Gerçek şu ki, hiçbir kullanıcı bunu yapmıyor ve Gpg topluluğu uyarının kaldırılmasını istedi.

SHA256SUMS.gpg'yi doğrulama

Aşağıdaki örnekte, kutumda bulduğum eski bir Kali Linux görüntüsünün bütünlüğünü doğrulayacağım. Bu amaçla aynı iso imajına ait SHA256SUMS.gpg ve SHA256SUMS dosyalarını indirdim.

Bir iso görüntüsü, SHA256SUMS.gpg ve SHA256SUMS indirdikten sonra, genel anahtarları almanız gerekir. Aşağıdaki örnekte, anahtarları kullanarak alıyorum wget ve gpg -içe aktarma (Kali doğrulama talimatları bu anahtar sunucusuna bağlanır).

Ardından, gpg'yi arayarak dosya bütünlüğünü doğrularım. -Doğrulayın argüman:

Gördüğünüz gibi, imza iyi ve doğrulama başarılı oldu.

Aşağıdaki örnek, bir NodeJS indirmesinin nasıl doğrulanacağını gösterir. İlk komut, ortak anahtar olmadığı için bir hata döndürür. Hata, 74F12602B6F1C4E913FAA37AD3A89613643B6201 anahtarını aramam gerektiğini gösteriyor. Genellikle, anahtar kimliğini talimatlarda da bulabilirsiniz.

Seçeneği kullanarak -anahtar sunucusu , anahtarın aranacağı sunucuyu belirtebilirim. Seçeneği kullanarak –recv-tuşları , anahtarları alıyorum. Ardından doğrulama çalışır:

Almam gereken anahtarı kopyalarım ve ardından çalıştırırım:

gpg Anahtarlarını Arama:

Otomatik alma anahtarları çalışmıyorsa ve doğrulamaya özel talimatları bulamıyorsanız, seçeneği kullanarak anahtarı bir anahtar sunucusunda arayabilirsiniz. -arama tuşu .

Gördüğünüz gibi anahtar bulundu. Almak istediğiniz tuşun numarasına basarak da alabilirsiniz.

Çözüm

İndirilenlerin bütünlüğünün doğrulanması, ciddi sorunları önleyebilir veya örneğin indirilen yazılım düzgün çalışmadığında bunları açıklayabilir. Kullanıcı gerekli tüm dosyaları aldığı sürece, yukarıda gösterildiği gibi gpg ile işlem oldukça kolaydır.

Asimetrik şifrelemeyi veya genel ve özel anahtar tabanlı şifrelemeyi anlamak, örneğin dijital imzaları kullanarak internette güvenli bir şekilde etkileşim kurmak için temel bir ihtiyaçtır.

Umarım PGP imzalarıyla ilgili bu eğitim yardımcı olmuştur. Daha fazla Linux ipucu ve öğreticisi için Linux İpucunu takip etmeye devam edin.