PGP: tä ei käytetä ainoastaan tietojen suojaamiseen tietouhilta, vaan myös tiedostojen eheyden tarkistamiseen.
Tämä opetusohjelma selittää helposti, miten PGP toimii ja miten PGP -allekirjoitukset tarkistetaan .
Kuinka PGP toimii
Alla oleva kuva esittää julkisen PGP -avaimen. Tämä julkinen PGP -avain voidaan purkaa vain tietyn yksityisen PGP -avaimen avulla. Alla olevan julkisen avaimen myöntäjä antoi myös yksityisen PGP -avaimen, koska ne luodaan samassa prosessissa. Hän jakaa vain julkisen avaimen.
Jos otat hänen julkisen avaimensa salatakseen viestin hänelle, hän voi purkaa viestin salauksen yksityisellä avaimellaan. Vain hänen yksityinen avain voi purkaa salatun viestin salauksen hänen julkisella avaimellaan.
Tiedot salataan julkisella avaimella ja salauksen salaus yksityisellä avaimella. Tätä kutsutaan epäsymmetrinen salaus .
Joten vaikka hyökkääjä onnistuu sieppaamaan viestin ilman yksityistä avainta, hän ei voi nähdä viestin sisältöä.
Epäsymmetrisen salauksen etuna on avainten vaihtamisen yksinkertaisuus. Mutta sen haittapuoli on, että se ei voi salata suuria tietomääriä, ja siksi PGP toteuttaa ne molemmat.
Symmetristä salausta käytetään, kun julkista avainta käytetään suojattujen tietojen salaamiseen. Julkisella avaimella lähettäjä tekee kaksi asiaa: luo ensin symmetrisen salauksen tietojen suojaamiseksi, ja sitten se käyttää epäsymmetristä salausta, joka ei salaa tietoja itse, vaan symmetrisen avaimen, joka suojaa tiedot.
Teknisemmäksi sanottuna ennen symmetrisen avaimen käyttämistä tiedot pakataan myös ennen salaamista symmetrisellä avaimella ja julkisella avaimella. Seuraava kaavio näyttää koko prosessin:
PGP -allekirjoitukset
PGP: tä käytetään myös pakettien eheyden tarkistamiseen. Tämä saavutetaan digitaalisella allekirjoituksella, joka voidaan tehdä PGP: llä.
Ensinnäkin PGP luo hajautuksen, joka on salattu yksityisellä avaimella. Sekä yksityinen avain että tiiviste voidaan purkaa käyttämällä julkista avainta.
PGP luo digitaalisen allekirjoituksen esimerkiksi ISO -kuvalle käyttämällä DSA- tai RSA -algoritmeja. Tässä tapauksessa yksityinen avain on liitetty ohjelmistoon tai ISO -kuvaan, toisin kuin edellä kuvattu toiminta. Julkinen avain on myös jaettu.
Käyttäjät tarkistavat julkisen avaimen avulla julkaistun ohjelmiston allekirjoituksen.
Seuraava kaavion kulku näyttää, kuinka yksityinen avain ja tiiviste on liitetty ohjelmistoon ja kuinka käyttäjä ottaa ohjelmiston liitteenä olevalla tiivisteellä ja yksityisellä avaimella yhdessä julkisen avaimen kanssa allekirjoituksen tarkistamiseksi:
Kuinka voin tarkistaa PGP -allekirjoituksen?
Ensimmäinen esimerkki näyttää kuinka Linux -ytimen allekirjoitus tarkistetaan. Jos haluat kokeilla sitä, käytä https://kernel.org ja lataa ytimen versio ja sen PGP -tiedosto. Tässä esimerkissä lataan tiedostoja linux-5.12.7.tar.xz ja linux-5.12.7.tar.sign .
Ensimmäinen esimerkki osoittaa, kuinka allekirjoitus tarkistetaan yhdellä komennolla. Man -sivun mukaan tämä vaihtoehtoyhdistelmä poistetaan käytöstä tulevissa versioissa. Sitä käytetään kuitenkin edelleen laajalti, ja vaikka tietty yhdistelmä poistetaan käytöstä, vaihtoehdot säilyvät.
Ensimmäinen vaihtoehto -avainpalvelinvaihtoehdot mahdollistaa vaihtoehtojen määrittämisen avainpalvelimelle, johon julkiset avaimet on tallennettu. Pohjimmiltaan tämä mahdollistaa julkisten avainten noutovaihtoehtojen toteuttamisen.
The -avainpalvelinvaihtoehdot on yhdistetty -automaattinen avaimen nouto mahdollisuus noutaa julkiset avaimet automaattisesti avainpalvelimelta allekirjoituksia tarkistettaessa.
Julkisten avainten löytämiseksi tämä komento lukee allekirjoituksen, joka etsii määriteltyä ensisijaista avainpalvelinta tai allekirjoittajan tunnusta Web -avainhakemiston avulla.
gpg-avainpalvelin-vaihtoehdotautomaattinen avaimen nouto-tarkistalinux-5.12.7.tar.sign 
Kuten näette, allekirjoitus on hyvä, mutta varoitusviesti sanoo, että gpg ei voi vahvistaa allekirjoitusta omistajalleen. Kuka tahansa voi antaa julkisen allekirjoituksen nimellä Greg Krohan-Hartman. Tiedät, että allekirjoitus on laillinen, koska luotat palvelimeen, josta olet ladannut sen. Tässä tapauksessa se määritetään osoitteessa kernel.org ladattavassa .sign -tiedostossa.
Tämä varoitus on aina läsnä, ja voit välttää sen lisäämällä allekirjoituksia luotettavan allekirjoituksen luetteloon käyttämällä tätä vaihtoehtoa -muokkausavain . Totuus on, ettei käyttäjä tee sitä, ja Gpg -yhteisö pyysi varoituksen poistamista.
Vahvistetaan SHA256SUMS.gpg
Seuraavassa esimerkissä tarkistan laatikostani löytämäni vanhan Kali Linux -kuvan eheyden. Tätä varten latasin SHA256SUMS.gpg- ja SHA256SUMS -tiedostot, jotka kuuluvat samaan iso -kuvaan.
Kun olet ladannut iso -kuvan, SHA256SUMS.gpg ja SHA256SUMS, sinun on hankittava julkiset avaimet. Seuraavassa esimerkissä haen avaimet käyttämällä wget ja gpg - tuonti (Kalin vahvistusohjeet linkittävät tähän avainpalvelimeen).
Sitten tarkistan tiedoston eheyden soittamalla gpg: lle - tarkista Perustelu:
wget -q -TAI- https://archive.kali.org/archive-key.asc|gpg--tuontigpg-tarkistaSHA256SUMS.gpg SHA256SUMS
Kuten näette, allekirjoitus on hyvä ja vahvistus onnistui.
Seuraava esimerkki näyttää, miten NodeJS -lataus tarkistetaan. Ensimmäinen komento palauttaa virheen, koska julkista avainta ei ole. Virhe osoittaa, että minun on etsittävä avainta 74F12602B6F1C4E913FAA37AD3A89613643B6201. Yleensä avaimen tunnus löytyy myös ohjeista.
Käyttämällä vaihtoehtoa - avainpalvelin , Voin määrittää palvelimen etsimään avainta. Käyttämällä vaihtoehtoa -korjausnäppäimet , Haen avaimet. Sitten vahvistus toimii:
gpg-tarkistaSHASUMS256.txt.ascKopioin noutettavan avaimen ja suoritan sitten:
gpg-avainpalvelinpool.sks-keyservers.net-korjausnäppäimet74F12602B6F1C4E913FAA37AD3A89613643B6201
gpg-tarkistaSHASUMS256.txt.asc
Etsitään gpg -avaimia:
Jos avainten automaattinen nouto ei toimi ja et löydä vahvistuskohtaisia ohjeita, voit etsiä avainta avainpalvelimesta käyttämällä vaihtoehtoa -hakuavain .
gpg--hakuavain74F12602B6F1C4E913FAA37AD3A89613643B6201 
Kuten näette, avain löytyi. Voit myös hakea sen painamalla haettavan näppäimen numeroa.
Johtopäätös
Latausten eheyden tarkistaminen voi estää vakavia ongelmia tai selittää ne esimerkiksi silloin, kun ladattu ohjelmisto ei toimi oikein. Prosessi gpg: llä on melko helppoa, kuten yllä on esitetty, kunhan käyttäjä saa kaikki tarvittavat tiedostot.
Epäsymmetrisen salauksen tai julkisiin ja yksityisiin avaimiin perustuvan salauksen ymmärtäminen on perustarve turvalliselle vuorovaikutukselle Internetissä, esimerkiksi digitaalisten allekirjoitusten avulla.
Toivottavasti tämä opetusohjelma PGP -allekirjoituksista oli hyödyllinen. Seuraa Linux -vinkkiä saadaksesi lisää Linux -vinkkejä ja opetusohjelmia.