Установка программного обеспечения в системе Linux обычно проходит без проблем.
В большинстве случаев вы используете менеджер пакетов, такой как apt, dnf или Pacman, для безопасной установки из репозиториев вашего дистрибутива.
Однако в некоторых случаях программный пакет может отсутствовать в официальном репозитории дистрибутива.
В таких случаях приходится скачивать его с сайта производителя.
Но насколько вы уверены, что пакет программ не был подделан?
На этот вопрос мы и попытаемся ответить.
В этом руководстве мы сосредоточимся на том, как проверить PGP-подпись загруженного пакета программ в Linux.
PGP (Pretty Good Privacy) – это криптографическое приложение, используемое для шифрования и подписи файлов.
Большинство авторов программ подписывают свои приложения с помощью программы PGP, например, GPG (GNU Privacy Guard).
GPG – это криптографическая реализация OpenPGP, она обеспечивает безопасную передачу данных, а также может использоваться для проверки целостности источника.
Подобным образом вы можете использовать GPG для проверки подлинности загруженного программного обеспечения.
- 🔐 Как добавить в список и удалить ключ GPG на Ubuntu
- 🗄️ Как создать сжатые зашифрованные архивы с помощью tar и gpg
- 👭 Как генерировать ключи GPG на Linux
- Как зашифровать / расшифровать файл в Linux с помощью gpg (Kali Linux)
- 🇪🇭 Как удалить репозиторий и ключ GPG в Ubuntu
Проверка целостности загруженного программного обеспечения представляет собой 5-этапную процедуру, которая выполняется в следующем порядке.
- Загрузка открытого ключа автора программы.
- Проверка отпечатка ключа.
- Импорт открытого ключа.
- Загрузка файла подписи программного обеспечения.
- Проверка файла подписи.
В этом руководстве мы будем использовать Tixati – peer-to-peer программу обмена файлами – в качестве примера, чтобы продемонстрировать это.
Мы уже загрузили пакет Debian с официальной страницы скачивания.
В командной строке заберите открытый ключ с помощью команды wget, как показано на далее:
$ wget https://www.tixati.com/tixati.key
Проверка отпечатка открытого ключа
После загрузки ключа следующим шагом будет проверка фингерпринта открытого ключа с помощью команды gpg, как показано на ниже:
$ gpg --show-keys tixati.key
Выделенный вывод – это отпечаток открытого ключа.
Импорт ключа GPG
После того как мы проверили открытый отпечаток ключа, мы импортируем ключ GPG.
Это нужно сделать только один раз.
$ gpg --import tixati.key
Скачаем файл подписи программного обеспечения
Далее мы загрузим файл подписи PGP, который находится рядом с пакетом Debian, как указано выше.
Файл подписи имеет расширение .asc.
$ wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc
Проверка файла подписи
Наконец, проверьте целостность программного обеспечения с помощью файла подписи и пакета Debian, как показано на далее:
$ gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb
Вывод третьей строки подтверждает, что подпись принадлежит автору программного обеспечения, в данном случае Tixati Software Inc.
В строке выше приведен отпечаток пальца, который совпадает с отпечатком открытого ключа.
Это подтверждение PGP-подписи программного обеспечения.
Мы надеемся, что это руководство дало вам представление о том, как вы можете проверить PGP скаченного программного пакета на Linux.