Como verificar a assinatura PGP do software baixado no Linux
- 1473
- 348
- Mr. Mitchell Hansen
Ao instalar o software em um sistema Linux, geralmente é um passeio suave. Na maioria dos casos, você usaria um gerente de pacotes como APT, DNF ou Pacman para instalá -lo com segurança a partir dos repositórios da sua distribuição.
Em alguns casos, no entanto, um pacote de software não pode ser incluído no repositório oficial da distribuição. Em tais cenários, um é obrigado a baixá -lo no site do fornecedor. Mas como você tem certeza de que o pacote de software não foi adulterado com? Esta é a pergunta que procuraremos responder. Neste guia, nos concentramos em como verificar a assinatura do PGP de um pacote de software baixado no Linux.
Pgp (Muito boa privacidade) é um aplicativo criptográfico usado para criptografar e assinar arquivos. A maioria dos autores de software assina seus aplicativos usando o programa PGP, por exemplo Gpg (Guard de privacidade GNU).
Gpg é uma implementação de criptografia de OpenPGP e permite transmissão segura de dados e também pode ser usada para verificar a integridade da fonte. De maneira semelhante, você pode aproveitar o GPG para verificar a autenticidade do software baixado.
A verificação da integridade do software baixado é um procedimento de 5 etapas que leva o seguinte pedido.
- Baixando a chave pública do autor do software.
- Verificando a impressão digital da chave.
- Importando a chave pública.
- Baixando o arquivo de assinatura do software.
- Verifique o arquivo de assinatura.
Neste guia, vamos usar Tixati - um programa de compartilhamento de arquivos ponto a ponto-como exemplo para demonstrar isso. Já baixamos o pacote Debian da página de download offical.
Verifique a assinatura PGP de Tixati
Logo de cara, vamos baixar a chave pública do autor que é usada para verificar qualquer lançamento. O link para a chave é fornecido na parte inferior da página de downloads de Tixati.
Tixati GPG Key Na linha de comando, pegue a chave pública usando o comando wget como mostrado.
$ wget https: // www.Tixati.com/tixati.chave
Verifique a impressão digital da chave pública
Depois que a chave é baixada, o próximo passo é verificar a impressão digital da chave pública usando o comando gpg como mostrado.
$ GPG-Show-Kys Tixati.chave
A saída destacada é a impressão digital da chave pública.
Verifique a impressão digital de chave pública Importar a chave GPG
Depois de verificar a impressão digital pública da chave, importaremos a chave GPG. Isso só precisa ser feito uma vez.
$ gpg --import tixati.chave
Importar chave GPG Baixe o arquivo de assinatura do software
Em seguida, baixaremos o arquivo de assinatura PGP, que fica ao lado do pacote Debian, conforme indicado. O arquivo de assinatura leva o .ASC extensão de arquivo.
Baixe o arquivo de assinatura PGP $ wget https: // download2.Tixati.com/download/tixati_2.84-1_AMD64.Deb.ASC
Baixe o arquivo de assinatura PGP Verifique o arquivo de assinatura
Por fim, verifique a integridade do software usando o arquivo de assinatura e contra o pacote Debian, como mostrado.
$ gpg -verify tixati_2.84-1_AMD64.Deb.ASC Tixati_2.84-1_AMD64.Deb
Verifique o arquivo de assinatura PGP A saída da terceira linha confirma que o Assinatura é do autor do software, neste caso, Tixati Software Inc. A linha acima fornece a impressão digital que corresponde à impressão digital da chave pública. Esta é a confirmação da assinatura do PGP do software.
Esperamos que este guia tenha fornecido informações sobre como você pode verificar o PGP de um pacote de software baixado no Linux.
- « Como instalar e usar o protonvpn no linux da área de trabalho
- OS elementar - uma distro Linux para usuários de Windows e MacOS »