Kuinka tarkistaa ladatun ohjelmiston PGP-allekirjoitus Linuxissa

Ohjelmiston asentaminen Linux-järjestelmään on yleensä sujuvaa. Useimmissa tapauksissa käytät paketinhallintaa, kuten dnf:ää tai Pacmania, asentaaksesi sen turvallisesti jakelusi arkistoista.

Joissakin tapauksissa ohjelmistopaketti ei kuitenkaan välttämättä sisälly jakelun viralliseen arkistoon. Tällaisissa skenaarioissa se on ladattava toimittajan verkkosivustolta. Mutta kuinka varma olet siitä, että ohjelmistopakettia ei ole peukaloitu? Tämä on kysymys, johon pyrimme vastaamaan. Tässä oppaassa keskitymme ladatun ohjelmistopaketin PGP-allekirjoituksen tarkistamiseen Linuxissa.

PGP (Pretty Good Privacy) on salaussovellus, jota käytetään tiedostojen salaamiseen ja allekirjoittamiseen. Useimmat ohjelmistojen tekijät allekirjoittavat sovelluksensa PGP-ohjelmalla, esimerkiksi GPG (GNU Privacy Guard).

GPG on OpenPGP:n salaustoteutus, joka mahdollistaa tiedon turvallisen siirron ja sitä voidaan käyttää myös lähteen eheyden todentamiseen. Samalla tavalla voit käyttää GPG:tä ladattujen ohjelmistojen aitouden tarkistamiseen.

Ladatun ohjelmiston eheyden varmistus on 5-vaiheinen toimenpide, joka tapahtuu seuraavassa järjestyksessä.

  • Lataa ohjelmiston tekijän julkinen avain.
  • Tarkistaa avaimen sormenjäljen.
  • Julkista avainta tuodaan.
  • Lataa ohjelmiston allekirjoitustiedosto.
  • Vahvista allekirjoitustiedosto.

Tässä oppaassa käytämme Tixatia – vertaistiedostonjakoohjelmaa – esimerkkinä tämän osoittamiseen. Olemme jo ladanneet Debian-paketin viralliselta lataussivulta.

Tarkista Tixatin PGP-allekirjoitus

Aiomme heti ladata tekijän julkisen avaimen, jota käytetään kaikkien julkaisujen tarkistamiseen. Linkki avaimeen on Tixati-lataussivun alaosassa.

Tartu komentorivillä julkiseen avaimeen käyttämällä wget-komentoa kuvan mukaisesti.

$ wget https://www.tixati.com/tixati.key

Tarkista julkisen avaimen sormenjälki

Kun avain on ladattu, seuraava vaihe on tarkistaa julkisen avaimen sormenjälki käyttämällä gpg-komentoa kuvan mukaisesti.

$ gpg --show-keys tixati.key

Korostettu tulos on julkisen avaimen sormenjälki.

Tuo GPG-avain

Kun olemme tarkistaneet avaimen julkisen sormenjäljen, tuomme GPG-avaimen. Tämä on tehtävä vain kerran.

$ gpg --import tixati.key

Lataa ohjelmiston allekirjoitustiedosto

Seuraavaksi lataamme PGP-allekirjoitustiedoston, joka on aivan Debian-paketin vieressä, kuten on osoitettu. Allekirjoitustiedostossa on .asc-tiedostotunniste.

$ wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

Tarkista allekirjoitustiedosto

Tarkista lopuksi ohjelmiston eheys allekirjoitustiedoston ja Debian-paketin avulla kuvan osoittamalla tavalla.

$ gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

Kolmannen rivin tulos vahvistaa, että allekirjoitus on ohjelmiston tekijältä, tässä tapauksessa Tixati Software Inc:ltä. Yllä oleva rivi tarjoaa sormenjäljen, joka vastaa julkisen avaimen sormenjälkeä. Tämä on ohjelmiston PGP-allekirjoituksen vahvistus.

Toivomme, että tämä opas antoi käsityksen siitä, kuinka voit varmistaa ladatun ohjelmistopaketin PGP:n Linuxissa.