So überprüfen Sie die PGP -Signatur einer heruntergeladenen Software unter Linux

Bei der Installation von Software auf einem Linux -System ist normalerweise eine reibungslose Fahrt. In den meisten Fällen würden Sie einen Paketmanager wie APT, DNF oder verwenden Pacman Um es sicher aus den Repositorys Ihrer Verteilung zu installieren.

In einigen Fällen ist jedoch möglicherweise kein Softwarepaket nicht in das offizielle Repository der Verteilung aufgenommen. In solchen Szenarien ist man gezwungen, es von der Website des Anbieters herunterzuladen. Aber wie sicher sind Sie, dass das Softwarepaket nicht manipuliert wurde? Dies ist die Frage, die wir beantworten wollen. In diesem Handbuch konzentrieren wir uns darauf, wie die PGP -Signatur eines heruntergeladenen Softwarepakets unter Linux überprüft werden können.

PGP (Sehr Gute Privatsphäre) ist eine kryptografische Anwendung, die zum Verschlingen und Signieren von Dateien verwendet wird. Die meisten Softwareautoren unterschreiben ihre Anwendungen beispielsweise mit dem PGP -Programm Gpg (GNU Privacy Guard).

Gpg ist eine Kryptographie -Implementierung von OpenPGP und es ermöglicht eine sichere Datenübertragung und kann auch verwendet werden, um die Integrität der Quelle zu überprüfen. In ähnlicher Weise können Sie GPG nutzen, um die Authentizität von heruntergeladenen Software zu überprüfen.

Die Überprüfung der Integrität der heruntergeladenen Software ist ein 5-Stufen-Verfahren, bei dem die folgende Reihenfolge erfolgt.

• Herunterladen des öffentlichen Schlüssels des Autors der Software.
• Überprüfen Sie den Fingerabdruck des Schlüssels.
• Importieren des öffentlichen Schlüssels.
• Herunterladen der Signaturdatei der Software.
• Überprüfen Sie die Signaturdatei.

In diesem Leitfaden werden wir verwenden Tixati - Ein Peer-to-Peer-Dateifreigabeprogramm-als Beispiel, um dies zu demonstrieren. Bereits haben wir das Debian -Paket von der Offical Download -Seite heruntergeladen.

Überprüfen Sie die PGP -Signatur von Tixati

Aufgrund der Fledermaus werden wir den öffentlichen Schlüssel des Autors herunterladen, der zur Überprüfung aller Veröffentlichungen verwendet wird. Der Link zum Schlüssel ist unten auf der Seite Tixati -Downloads bereitgestellt.

Tixati GPG -Schlüssel

Nehmen Sie in der Befehlszeile den öffentlichen Schlüssel mit dem Befehl wGet wie gezeigt, wie angezeigt.

$ wget https: // www.Tixati.com/tixati.Taste 

Überprüfen Sie den Fingerabdruck des öffentlichen Schlüssels

Sobald der Schlüssel heruntergeladen wurde, besteht der nächste Schritt darin, den Fingerabdruck des öffentlichen Schlüssels mit dem zu überprüfen GPG -Befehl wie gezeigt.

$ gpg --how-keys tixati.Taste 

Die hervorgehobene Ausgabe ist der Fingerabdruck des öffentlichen Schlüssels.

Überprüfen Sie den öffentlichen Schlüsselfingerabdruck

Importieren Sie den GPG -Schlüssel

Sobald wir den öffentlichen Fingerabdruck des Schlüssels überprüft haben, werden wir den GPG -Schlüssel importieren. Dies muss nur einmal erledigt werden.

$ gpg -Import tixati.Taste 

GPG -Schlüssel importieren

Laden Sie die Signaturdatei der Software herunter

Als nächst. Die Signature -Datei trägt die .ASC Dateierweiterung.

Laden Sie die PGP -Signaturdatei herunter

$ wget https: // download2.Tixati.com/download/tixati_2.84-1_AMD64.Deb.ASC 

Laden Sie die PGP -Signaturdatei herunter

Überprüfen Sie die Signaturdatei

Überprüfen Sie zuletzt die Integrität der Software mithilfe der Signaturdatei und dem Debian -Paket wie gezeigt.

$ gpg -pectixati_2 verifizieren.84-1_AMD64.Deb.ASC Tixati_2.84-1_AMD64.Deb 

Überprüfen Sie die PGP -Signaturdatei

Die Ausgabe der dritten Zeile bestätigt, dass die Unterschrift ist in diesem Fall vom Autor der Software -Autor, Tixati Software Inc. Die obige Linie liefert den Fingerabdruck, der dem Fingerabdruck des öffentlichen Schlüssels entspricht. Dies ist Bestätigung der PGP -Signatur der Software.

Wir hoffen, dass dieser Leitfaden Einblicke in die Überprüfung des PGP eines heruntergeladenen Softwarepakets unter Linux lieferte.