PGP nu este folosit doar pentru a proteja informațiile împotriva amenințărilor cibernetice, ci și pentru a verifica integritatea fișierelor.
Acest tutorial explică cu ușurință modul în care funcționează PGP și cum se verifică semnăturile PGP .
Cum funcționează PGP
Imaginea de mai jos descrie o cheie publică PGP. Această cheie publică PGP poate fi decriptată numai cu o anumită cheie PGP privată. Emitentul cheii publice de mai jos a emis și o cheie PGP privată, deoarece acestea sunt generate în același proces. El împarte doar cheia publică.
Dacă îi luați cheia publică pentru a-i cripta un mesaj, el va putea decripta mesajul folosind cheia sa privată. Numai cheia sa privată poate decripta mesajul pe care l-ați criptat folosind cheia sa publică.
Informațiile sunt criptate folosind cheia publică și decriptate folosind cheia privată. Aceasta se numește criptare asimetrică .
Deci, chiar dacă un atacator reușește să intercepteze mesajul fără cheia privată, el nu poate vedea conținutul mesajului.
Avantajul criptării asimetrice este simplitatea schimbului de chei. Dezavantajul său este însă că nu poate cripta cantități mari de date și de aceea PGP le implementează pe amândouă.
Criptarea simetrică se aplică atunci când cheia publică este utilizată pentru a cripta datele protejate. Cu cheia publică, expeditorul face două lucruri: mai întâi generează criptarea simetrică pentru a proteja datele și apoi aplică criptarea asimetrică, care nu criptează datele în sine, ci cheia simetrică, care protejează datele.
Pentru a fi mai tehnici, înainte de aplicarea cheii simetrice, datele sunt, de asemenea, comprimate înainte de a fi criptate cu cheia simetrică și cheia publică. Următorul flux de diagrame arată întregul proces:
Semnături PGP
PGP este, de asemenea, utilizat pentru a verifica integritatea pachetelor. Acest lucru se realizează prin semnătura digitală, care poate fi realizată cu PGP.
În primul rând, PGP generează un hash care este criptat cu cheia privată. Atât cheia privată, cât și hash-ul pot fi decriptate folosind cheia publică.
PGP creează o semnătură digitală, de exemplu, pentru o imagine ISO utilizând algoritmi DSA sau RSA. În acest caz, cheia privată este atașată software-ului sau ISO Image, contrar operațiunii descrise anterior. Cheia publică este, de asemenea, partajată.
Utilizatorii folosesc cheia publică pentru a verifica semnătura atașată software-ului lansat.
Următorul flux de diagrame arată modul în care cheia privată și hash-ul sunt atașate la software și modul în care utilizatorul ia software-ul cu hash-ul și cheia privată atașate împreună cu cheia publică pentru a verifica semnătura:
Cum verific o semnătură PGP?
Primul exemplu arată cum să verificați semnătura kernel-ului Linux. Pentru a încerca, accesați https://kernel.org și descărcați o versiune a nucleului și fișierul său PGP. Pentru acest exemplu, voi descărca fișiere linux-5.12.7.tar.xz și linux-5.12.7.tar.sign .
Primul exemplu arată cum să verificați semnătura cu o singură comandă. Conform paginii man, această combinație de opțiuni va fi depreciată în versiunile viitoare. Cu toate acestea, este încă utilizat pe scară largă și, deși combinația specifică va fi depreciată, opțiunile vor rămâne.
Prima opțiune –Keyyserver-options permite definirea opțiunilor pentru serverul de chei în care sunt stocate cheile publice. Practic, acest lucru permite implementarea opțiunilor de preluare a cheilor publice.
The –Keyyserver-options este combinat cu –Auto-key-retrieve opțiune pentru a prelua automat cheile publice de pe un server de chei la verificarea semnăturilor.
Pentru a găsi cheile publice, această comandă va citi semnătura căutând un server de chei preferat sau ID-ul semnatarului printr-un proces de căutare utilizând Directorul cheilor web.
gpg--keyserver-optionspreluare auto-cheie--verificalinux-5.12.7.tar.sign 
După cum puteți vedea, semnătura este bună, dar există un mesaj de avertizare care spune că gpg nu poate confirma că semnătura aparține proprietarului. Oricine poate emite o semnătură publică ca Greg Krohan-Hartman. Știți că semnătura este legitimă, deoarece aveți încredere în serverul de pe care l-ați descărcat. În acest caz, este specificat în .sign descărcat de pe kernel.org.
Acest avertisment este întotdeauna prezent și îl puteți evita adăugând semnături la o listă de încredere a semnăturilor folosind opțiunea –Credere de editare-cheie . Adevărul este că niciun utilizator nu o face, iar comunitatea Gpg a solicitat eliminarea avertismentului.
Se verifică SHA256SUMS.gpg
În exemplul următor, voi verifica integritatea unei vechi imagini Kali Linux pe care am găsit-o în caseta mea. În acest scop, am descărcat fișierele SHA256SUMS.gpg și SHA256SUMS aparținând aceleiași imagini iso.
După ce descărcați o imagine iso, SHA256SUMS.gpg și SHA256SUMS, trebuie să obțineți cheile publice. În exemplul următor, extrag tastele folosind wget și gpg –import (Instrucțiunile de verificare Kali se leagă de acest server de chei).
Apoi verific integritatea fișierului apelând gpg cu -verifica argument:
wget -q -SAU- https://archive.kali.org/arhivă-cheie.asc|gpg--importgpg--verificaSHA256SUMS.gpg SHA256SUMS
După cum puteți vedea, semnătura este bună, iar verificarea a avut succes.
Următorul exemplu arată cum să verificați o descărcare NodeJS. Prima comandă returnează o eroare deoarece nu există o cheie publică. Eroarea indică faptul că trebuie să caut cheia 74F12602B6F1C4E913FAA37AD3A89613643B6201. De obicei, puteți găsi ID-ul cheii în instrucțiuni.
Prin utilizarea opțiunii –Serviciu de chei , Pot specifica serverul pentru a căuta cheia. Prin utilizarea opțiunii –Recv-chei , Recuperez cheile. Apoi, verificarea funcționează:
gpg--verificaSHASUMS256.txt.ascCopiez cheia pe care trebuie să o extrag și apoi rulez:
gpg--cheyserverpool.sks-keyservers.net--recv-chei74F12602B6F1C4E913FAA37AD3A89613643B6201
gpg--verificaSHASUMS256.txt.asc
Căutarea cheilor gpg:
Dacă cheile de recuperare automată nu funcționează și nu puteți găsi instrucțiunile specifice verificării, puteți căuta cheia într-un server de taste utilizând opțiunea –Cheie de căutare .
gpg--cheie de căutare74F12602B6F1C4E913FAA37AD3A89613643B6201 
După cum puteți vedea, cheia a fost găsită. De asemenea, îl puteți prelua apăsând numărul tastei pe care doriți să o preluați.
Concluzie
Verificarea integrității descărcărilor poate preveni probleme grave sau le poate explica, de exemplu, atunci când software-ul descărcat nu funcționează corect. Procesul cu gpg este destul de ușor, așa cum se arată mai sus, atâta timp cât utilizatorul primește toate fișierele necesare.
Înțelegerea criptării asimetrice sau a criptării bazate pe chei publice și private este o necesitate de bază pentru a interacționa în siguranță pe internet, de exemplu, folosind semnături digitale.
Sper că acest tutorial despre semnăturile PGP a fost de ajutor. Continuați să urmăriți Linux Hint pentru mai multe sfaturi și tutoriale Linux.