Wéi verifizéiert PGP Ënnerschrëft vun erofgeluede Software op Linux


Wann Dir Software op engem Linux System installéiere wëllt, ass normalerweis e glat Ride. An deene meeschte Fäll benotzt Dir e Package Manager wéi dnf, oder Pacman fir et sécher aus de Repositories vun Ärer Verdeelung z'installéieren.

A verschiddene Fäll kann awer e Softwarepaket net am offiziellen Repository vun der Verdeelung abegraff sinn. An esou Szenarie ass een gezwongen et vun der Websäit vum Verkeefer erofzelueden. Awer wéi sécher sidd Dir datt d'Software Package net gemanipuléiert gouf? Dëst ass d'Fro déi mir probéieren ze beäntweren. An dësem Guide konzentréiere mir eis op wéi d'PGP Ënnerschrëft vun engem erofgeluede Software Package am Linux verifizéieren.

PGP (Pretty Good Privacy) ass eng kryptografesch Applikatioun déi benotzt gëtt fir Dateien ze verschlësselen an z'ënnerschreiwen. Déi meescht Software Autoren ënnerschreiwen hir Uwendungen mam PGP Programm zum Beispill GPG (GNU Privacy Guard).

GPG ass eng Kryptografie Implementatioun vun OpenPGP an et erméiglecht eng sécher Iwwerdroung vun Daten a kann och benotzt ginn fir d'Integritéit vun der Quell z'iwwerpréiwen. Op eng ähnlech Manéier kënnt Dir GPG benotzen fir d'Authentizitéit vun der erofgeluede Software z'iwwerpréiwen.

D'Verifizéierung vun der Integritéit vun der erofgeluede Software ass eng 5-Schrëtt Prozedur déi folgend Uerdnung hëlt.

  • Den ëffentleche Schlëssel vum Auteur vun der Software eroflueden.
  • De Fangerofdrock vum Schlëssel iwwerpréift.
  • Importéiere vum ëffentleche Schlëssel.
  • D'Ënnerschrëft Datei vun der Software eroflueden.
  • Verifizéiert d'Ënnerschrëftdatei.

An dësem Guide wäerte mir Tixati benotzen - e Peer-to-Peer Datei Sharing Programm - als Beispill fir dëst ze demonstréieren. Schonn hu mir den Debian Package vun der Offiziell Download Säit erofgelueden.

Verifizéiert d'PGP Ënnerschrëft vun Tixati

Direkt vun der Fliedermaus wäerte mir den ëffentleche Schlëssel vum Auteur eroflueden dee benotzt gëtt fir all Verëffentlechungen z'iwwerpréiwen. De Link zum Schlëssel gëtt um Enn vun der Tixati Downloads Säit geliwwert.

Op der Kommandozeil, gräift de Public Schlëssel mam wget Kommando wéi gewisen.

$ wget https://www.tixati.com/tixati.key

Kontrolléiert de Fangerofdrock vum Public Schlëssel

Wann de Schlëssel erofgelueden ass, ass de nächste Schrëtt de Fangerofdrock vum Public Key ze kontrolléieren mat dem gpg Kommando wéi gewisen.

$ gpg --show-keys tixati.key

Déi markéiert Ausgang ass de Fangerofdrock vum ëffentleche Schlëssel.

Import de GPG Key

Wann mir den ëffentleche Fangerofdrock vum Schlëssel gepréift hunn, importéiere mir de GPG Schlëssel. Dëst muss nëmmen eemol gemaach ginn.

$ gpg --import tixati.key

Download Ënnerschrëft Datei vun der Software

Als nächst wäerte mir d'PGP Ënnerschrëft Datei eroflueden déi just nieft dem Debian Package ass wéi uginn. D'Ënnerschrëftdatei huet d'Dateierweiterung .asc.

$ wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

Verifizéiert d'Ënnerschrëft Datei

Endlech, verifizéiert d'Integritéit vun der Software mat der Ënnerschrëftdatei a géint den Debian Package wéi gewisen.

$ gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

D'Ausgab vun der drëtter Linn bestätegt datt d'Ënnerschrëft vum Autor vun der Software ass, an dësem Fall, Tixati Software Inc. D'Linn uewendriwwer stellt de Fangerofdrock, deen dem Fangerofdrock vum Public Schlëssel entsprécht. Dëst ass Bestätegung vun der PGP Ënnerschrëft vun der Software.

Mir hoffen datt dëse Guide Abléck huet wéi Dir d'PGP vun engem erofgeluede Software Package am Linux verifizéiere kënnt.