🔐 Как проверить PGP подпись загруженного программного обеспечения в системах Linux

Мануал

Установка программного обеспечения в системе Linux обычно проходит без проблем.

В большинстве случаев вы используете менеджер пакетов, такой как apt, dnf или Pacman, для безопасной установки из репозиториев вашего дистрибутива.

Однако в некоторых случаях программный пакет может отсутствовать в официальном репозитории дистрибутива.

В таких случаях приходится скачивать его с сайта производителя.

Но насколько вы уверены, что пакет программ не был подделан?

На этот вопрос мы и попытаемся ответить.

В этом руководстве мы сосредоточимся на том, как проверить PGP-подпись загруженного пакета программ в Linux.

PGP (Pretty Good Privacy) – это криптографическое приложение, используемое для шифрования и подписи файлов.

Большинство авторов программ подписывают свои приложения с помощью программы PGP, например, GPG (GNU Privacy Guard).

GPG – это криптографическая реализация OpenPGP, она обеспечивает безопасную передачу данных, а также может использоваться для проверки целостности источника.

Подобным образом вы можете использовать GPG для проверки подлинности загруженного программного обеспечения.

Проверка целостности загруженного программного обеспечения представляет собой 5-этапную процедуру, которая выполняется в следующем порядке.

  • Загрузка открытого ключа автора программы.
  • Проверка отпечатка ключа.
  • Импорт открытого ключа.
  • Загрузка файла подписи программного обеспечения.
  • Проверка файла подписи.

В этом руководстве мы будем использовать Tixati – peer-to-peer программу обмена файлами – в качестве примера, чтобы продемонстрировать это.

Мы уже загрузили пакет Debian с официальной страницы скачивания.

В командной строке заберите открытый ключ с помощью команды wget, как показано на далее:

$ wget https://www.tixati.com/tixati.key

Проверка отпечатка открытого ключа

После загрузки ключа следующим шагом будет проверка фингерпринта открытого ключа с помощью команды gpg, как показано на ниже:

$ gpg --show-keys tixati.key

Выделенный вывод – это отпечаток открытого ключа.

Импорт ключа GPG

После того как мы проверили открытый отпечаток ключа, мы импортируем ключ GPG.

Это нужно сделать только один раз.

$ gpg --import tixati.key

Скачаем файл подписи программного обеспечения

Далее мы загрузим файл подписи PGP, который находится рядом с пакетом Debian, как указано выше.

Файл подписи имеет расширение .asc.

$ wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

Проверка файла подписи

Наконец, проверьте целостность программного обеспечения с помощью файла подписи и пакета Debian, как показано на  далее:

$ gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

Вывод третьей строки подтверждает, что подпись принадлежит автору программного обеспечения, в данном случае Tixati Software Inc.

В строке выше приведен отпечаток пальца, который совпадает с отпечатком открытого ключа.

Это подтверждение PGP-подписи программного обеспечения.

Мы надеемся, что это руководство дало вам представление о том, как вы можете проверить PGP скаченного программного пакета на Linux.

Добавить комментарий