PGP tidak hanya digunakan untuk melindungi maklumat dari ancaman siber tetapi juga untuk memeriksa integriti fail.
Tutorial ini menerangkan dengan mudah bagaimana PGP berfungsi dan cara mengesahkan tandatangan PGP .
Bagaimana PGP Berfungsi
Gambar di bawah menggambarkan kunci awam PGP. Kunci awam PGP ini boleh didekripsi hanya dengan kunci PGP peribadi tertentu. Penerbit kunci awam di bawah juga mengeluarkan kunci PGP peribadi kerana ia dihasilkan dalam proses yang sama. Dia hanya berkongsi kunci awam.
Sekiranya anda mengambil kunci awam untuk mengenkripsi mesej kepadanya, dia akan dapat menyahsulitkan mesej tersebut menggunakan kunci peribadinya. Hanya kunci peribadinya yang dapat menyahsulitkan mesej yang anda enkripsi menggunakan kunci awamnya.
Maklumat tersebut dienkripsi menggunakan kunci awam, dan didekripsi menggunakan kunci peribadi. Ini dipanggil penyulitan asimetri .
Oleh itu, walaupun penyerang berjaya memintas mesej tanpa kunci peribadi, dia tidak dapat melihat kandungan mesej.
Kelebihan enkripsi asimetri adalah kesederhanaan untuk menukar kunci. Tetapi keburukannya adalah tidak dapat mengenkripsi sejumlah besar data, dan itulah sebabnya PGP menerapkan kedua-duanya.
Penyulitan simetri digunakan apabila kunci awam digunakan untuk menyulitkan data yang dilindungi. Dengan kunci awam, pengirim melakukan dua perkara: pertama menghasilkan enkripsi simetri untuk melindungi data, dan kemudian menerapkan enkripsi asimetri, yang tidak menyulitkan data itu sendiri, tetapi kunci simetri, yang melindungi data.
Untuk lebih teknikal, sebelum kunci simetri diterapkan, data juga dimampatkan sebelum disulitkan dengan kunci simetri dan kunci awam. Aliran carta berikut menunjukkan keseluruhan proses:
Tandatangan PGP
PGP juga digunakan untuk memeriksa integriti pakej. Ini dicapai melalui tandatangan digital, yang dapat dilakukan dengan PGP.
Pertama, PGP menghasilkan hash yang disulitkan dengan kunci peribadi. Kunci peribadi dan hash boleh didekripsi menggunakan kunci awam.
PGP membuat tandatangan digital, misalnya, untuk imej ISO menggunakan algoritma DSA atau RSA. Dalam kes ini, kunci peribadi dilampirkan pada perisian atau ISO Image, bertentangan dengan operasi yang dijelaskan sebelumnya. Kunci awam juga dikongsi.
Pengguna menggunakan kunci awam untuk mengesahkan tandatangan yang dilampirkan pada perisian yang dikeluarkan.
Aliran carta berikut menunjukkan bagaimana kunci dan hash peribadi dilampirkan ke perisian dan bagaimana pengguna mengambil perisian dengan hash dan kunci peribadi yang dilampirkan bersama dengan kunci awam untuk mengesahkan tandatangannya:
Bagaimana saya mengesahkan tandatangan PGP?
Contoh pertama menunjukkan cara mengesahkan tandatangan kernel Linux. Untuk mencubanya, akses https://kernel.org dan muat turun versi kernel dan fail PGPnya. Untuk contoh ini, saya akan memuat turun fail linux-5.12.7.tar.xz dan linux-5.12.7.tar.sign .
Contoh pertama menunjukkan cara mengesahkan tandatangan dengan satu arahan. Menurut halaman man, kombinasi pilihan ini akan tidak digunakan lagi dalam versi yang akan datang. Namun, ia masih digunakan secara meluas, dan sementara kombinasi khusus tidak akan digunakan lagi, pilihannya tetap ada.
Pilihan pertama -Pilihan pelayan membolehkan menentukan pilihan untuk pelayan kunci di mana kunci awam disimpan. Pada dasarnya, ini memungkinkan pelaksanaan pilihan pengambilan kunci awam.
The -Pilihan pelayan digabungkan dengan -Auto-kunci-ambil pilihan untuk mengambil kunci awam secara automatik dari pelayan kunci semasa mengesahkan tandatangan.
Untuk mencari kunci awam, arahan ini akan membaca tandatangan untuk mencari penyedia kunci pilihan atau ID penandatangan yang ditentukan melalui proses pencarian menggunakan Direktori Kunci Web.
gpg- pilihan pelayankunci automatik-ambil--sahkanlinux-5.12.7.tar.sign 
Seperti yang anda lihat, tandatangannya bagus, tetapi ada mesej amaran yang mengatakan gpg tidak dapat mengesahkan bahawa tandatangan tersebut adalah milik pemiliknya. Sesiapa sahaja boleh mengeluarkan tandatangan awam sebagai Greg Krohan-Hartman. Anda tahu tandatangan itu sah kerana anda mempercayai pelayan dari mana anda memuat turunnya. Dalam kes ini, ia ditentukan dalam .sign yang dimuat turun dari kernel.org.
Amaran ini selalu ada, dan anda boleh menghindarinya dengan menambahkan tandatangan ke senarai dipercayai tanda tangan menggunakan pilihan - kepercayaan utama . Sebenarnya tidak ada pengguna yang melakukannya, dan komuniti Gpg meminta penghapusan amaran tersebut.
Mengesahkan SHA256SUMS.gpg
Dalam contoh berikut, saya akan mengesahkan integriti gambar Kali Linux lama yang saya dapati di dalam kotak saya. Untuk tujuan ini, saya memuat turun fail SHA256SUMS.gpg dan SHA256SUMS yang tergolong dalam gambar iso yang sama.
Sebaik sahaja anda memuat turun gambar iso, SHA256SUMS.gpg, dan SHA256SUMS, anda perlu mendapatkan kunci awam. Dalam contoh berikut, saya mengambil kunci menggunakan wget dan gpg –import (Petunjuk pengesahan Kali memaut ke pelayan utama ini).
Kemudian saya mengesahkan integriti fail dengan memanggil gpg dengan –Sahkan hujah:
wget -q -OR- https://archive.kali.org/arkib-kunci.asc|gpg--importgpg--sahkanSHA256SUMS.gpg SHA256SUMS
Seperti yang anda lihat, tandatangannya bagus dan pengesahan berjaya.
Contoh berikut menunjukkan cara mengesahkan muat turun NodeJS. Perintah pertama mengembalikan ralat kerana tidak ada kunci awam. Kesalahan menunjukkan bahawa saya perlu mencari kunci 74F12602B6F1C4E913FAA37AD3A89613643B6201. Biasanya, anda juga dapat mencari ID kunci dalam arahan.
Dengan menggunakan pilihan - pelayan , Saya dapat menentukan pelayan untuk mencari kunci. Dengan menggunakan pilihan -Kunci -recv , Saya mengambil kunci. Kemudian pengesahan berfungsi:
gpg--sahkanSHASUMS256.txt.ascSaya menyalin kunci yang perlu saya ambil, dan kemudian saya jalankan:
gpg- pelayan kuncipool.sks-keyservers.net- kekuncirecv74F12602B6F1C4E913FAA37AD3A89613643B6201
gpg--sahkanSHASUMS256.txt.asc
Mencari Kekunci gpg:
Sekiranya kunci pengambilan automatik tidak berfungsi dan anda tidak dapat menemui arahan khusus pengesahan, anda boleh mencari kunci di pelayan kunci menggunakan pilihan -Kunci carian .
gpg- kunci carian74F12602B6F1C4E913FAA37AD3A89613643B6201 
Seperti yang anda lihat, kunci dijumpai. Anda juga boleh mengambilnya dengan menekan nombor kekunci yang ingin diambil.
Kesimpulannya
Mengesahkan integriti muat turun boleh mencegah masalah serius atau menjelaskannya, misalnya, apabila perisian yang dimuat turun tidak berfungsi dengan betul. Proses dengan gpg cukup mudah, seperti yang ditunjukkan di atas, selagi pengguna mendapat semua fail yang diperlukan.
Memahami penyulitan asimetri atau penyulitan berasaskan kunci awam dan peribadi adalah keperluan asas untuk berinteraksi dengan selamat di internet, misalnya, menggunakan tandatangan digital.
Saya harap tutorial mengenai tandatangan PGP ini dapat membantu. Terus ikuti Petunjuk Linux untuk lebih banyak petua dan tutorial Linux.