PGP brukes ikke bare for å sikre informasjon mot cyber trusler, men også for å kontrollere filintegritet.
Denne opplæringen forklarer enkelt hvordan PGP fungerer og hvordan verifisere PGP -signaturer .
Slik fungerer PGP
Bildet nedenfor viser en offentlig nøkkel fra PGP. Denne offentlige PGP -nøkkelen kan bare dekrypteres med en bestemt privat PGP -nøkkel. Utstederen av den offentlige nøkkelen nedenfor utstedte også en privat PGP -nøkkel siden de genereres i samme prosess. Han deler bare den offentlige nøkkelen.
Hvis du tar den offentlige nøkkelen til å kryptere en melding til ham, vil han kunne dekryptere meldingen ved hjelp av sin private nøkkel. Bare hans private nøkkel kan dekryptere meldingen du krypterte ved hjelp av den offentlige nøkkelen.
Informasjonen krypteres ved hjelp av den offentlige nøkkelen, og dekrypteres ved hjelp av den private nøkkelen. Dette kalles asymmetrisk kryptering .
Så selv om en angriper klarer å fange meldingen uten den private nøkkelen, kan han ikke se meldingsinnholdet.
Fordelen med asymmetrisk kryptering er enkelheten til å bytte nøkler. Men ulempen er at den ikke kan kryptere store datamengder, og det er derfor PGP implementerer dem begge.
Symmetrisk kryptering brukes når den offentlige nøkkelen brukes til å kryptere de beskyttede dataene. Med den offentlige nøkkelen gjør avsenderen to ting: først genererer den symmetriske krypteringen for å beskytte dataene, og deretter bruker den asymmetrisk kryptering, som ikke krypterer selve dataene, men den symmetriske nøkkelen, som beskytter dataene.
For å være mer teknisk, før den symmetriske nøkkelen brukes, blir dataene også komprimert før de krypteres med den symmetriske nøkkelen og den offentlige nøkkelen. Følgende diagramflyt viser hele prosessen:
PGP -signaturer
PGP brukes også til å kontrollere pakkenes integritet. Dette oppnås gjennom digital signatur, som kan gjøres med PGP.
Først genererer PGP en hash som er kryptert med den private nøkkelen. Både privatnøkkel og hash kan dekrypteres ved hjelp av den offentlige nøkkelen.
PGP lager for eksempel en digital signatur for et ISO -bilde ved bruk av DSA- eller RSA -algoritmer. I dette tilfellet er den private nøkkelen festet til programvaren eller ISO -bildet, i motsetning til operasjonen beskrevet tidligere. Den offentlige nøkkelen deles også.
Brukere bruker den offentlige nøkkelen til å bekrefte signaturen som er knyttet til den utgitte programvaren.
Den følgende diagramflyten viser hvordan den private nøkkelen og hashen er festet til programvaren, og hvordan brukeren tar programvaren med den vedlagte hashen og den private nøkkelen sammen med den offentlige nøkkelen for å bekrefte signaturen:
Hvordan bekrefter jeg en PGP -signatur?
Det første eksemplet viser hvordan du bekrefter Linux -kjernesignaturen. For å prøve det, gå til https://kernel.org og last ned en kjerneversjon og PGP -filen. For dette eksempelet vil jeg laste ned filer linux-5.12.7.tar.xz og linux-5.12.7.tar.sign .
Det første eksemplet viser hvordan du bekrefter signaturen med en enkelt kommando. I følge mannssiden kommer denne alternativkombinasjonen til å bli avviklet i fremtidige versjoner. Den er imidlertid fortsatt mye brukt, og selv om den spesifikke kombinasjonen blir avskrevet, vil alternativene forbli.
Det første alternativet –Tastatur-alternativer lar definere alternativer for nøkkelserveren der offentlige nøkler er lagret. I utgangspunktet tillater dette implementering av alternativer for henting av offentlige nøkler.
De –Tastatur-alternativer er kombinert med –Automatisk nøkkelhenting muligheten til automatisk å hente offentlige nøkler fra en nøkkelserver når du bekrefter signaturer.
For å finne de offentlige nøklene, vil denne kommandoen lese signaturen på jakt etter en definert foretrukket nøkleserver eller signaters ID gjennom en oppslagsprosess ved hjelp av Web Key Directory.
gpg--tastatur-alternativerautomatisk nøkkelhenting--bekreftelinux-5.12.7.tar.sign 
Som du kan se, er signaturen god, men det er en advarsel om at gpg ikke kan bekrefte at signaturen tilhører eieren. Hvem som helst kan utstede en offentlig signatur som Greg Krohan-Hartman. Du vet at signaturen er legitim fordi du stoler på serveren du har lastet den ned fra. I dette tilfellet er det spesifisert i .signet lastet ned fra kernel.org.
Denne advarselen er alltid tilstede, og du kan unngå den ved å legge til signaturer i en pålitelig signaturliste ved å bruke alternativet –Rediger nøkkel tillit . Sannheten er at ingen bruker gjør det, og Gpg -samfunnet ba om fjerning av advarselen.
Bekrefter SHA256SUMS.gpg
I det følgende eksemplet vil jeg bekrefte integriteten til et gammelt Kali Linux -bilde jeg fant i esken min. For dette formålet lastet jeg ned SHA256SUMS.gpg- og SHA256SUMS -filene som tilhører det samme isobildet.
Når du har lastet ned et iso -bilde, SHA256SUMS.gpg og SHA256SUMS, må du få de offentlige nøklene. I det følgende eksemplet henter jeg nøklene ved hjelp av wget og gpg –import (Kali -bekreftelsesinstruksjoner lenke til denne nøkkelserveren).
Deretter bekrefter jeg filintegriteten ved å ringe gpg med -bekrefte argument:
wget -q -ELLER- https://archive.kali.org/arkiv-nøkkel.asc|gpg--importgpg--bekrefteSHA256SUMS.gpg SHA256SUMS
Som du kan se, er signaturen god, og bekreftelsen var vellykket.
Følgende eksempel viser hvordan du bekrefter en NodeJS -nedlasting. Den første kommandoen returnerer en feil fordi det ikke er noen offentlig nøkkel. Feilen indikerer at jeg må søke etter nøkkelen 74F12602B6F1C4E913FAA37AD3A89613643B6201. Vanligvis kan du også finne nøkkel -ID -en i instruksjonene.
Ved å bruke alternativet –Tastatur , Jeg kan angi serveren for å søke etter nøkkelen. Ved å bruke alternativet –Recv-nøkler , Jeg henter nøkler. Da fungerer verifiseringen:
gpg--bekrefteSHASUMS256.txt.ascJeg kopierer nøkkelen jeg må hente, og så kjører jeg:
gpg--tasteserverpool.sks-keyservers.net--recv-nøkler74F12602B6F1C4E913FAA37AD3A89613643B6201
gpg--bekrefteSHASUMS256.txt.asc
Søker på gpg -nøkler:
Hvis automatisk henting av nøkler ikke fungerer, og du ikke finner de bekreftelsesspesifikke instruksjonene, kan du søke i nøkkelen i en nøkleserver ved å bruke alternativet –Søk-nøkkel .
gpg--søk-nøkkel74F12602B6F1C4E913FAA37AD3A89613643B6201 
Som du kan se, ble nøkkelen funnet. Du kan også hente den ved å trykke på nummeret til tasten du vil hente.
Konklusjon
Verifisering av integriteten til nedlastinger kan forhindre alvorlige problemer eller forklare dem, for eksempel når nedlastet programvare ikke fungerer som det skal. Prosessen med gpg er ganske enkel, som vist ovenfor, så lenge brukeren får alle nødvendige filer.
Å forstå asymmetrisk kryptering eller offentlige og private nøkkelbaserte kryptering er et grunnleggende behov for å samhandle trygt på internett, for eksempel ved bruk av digitale signaturer.
Jeg håper denne opplæringen om PGP -signaturer var nyttig. Følg Linux Hint for flere Linux -tips og opplæringsprogrammer.