Giunsa Pag-verify ang PGP Signature sa Na-download nga Software sa Linux


Kung ang pag-install sa software sa usa ka sistema sa Linux kasagaran usa ka hapsay nga pagsakay. Sa kadaghanan nga mga kaso, mogamit ka usa ka manager sa pakete sama sa dnf, o Pacman aron i-install kini nga luwas gikan sa mga repositoryo sa imong pag-apod-apod.

Sa pipila ka mga higayon, bisan pa, ang usa ka pakete sa software mahimong dili maapil sa opisyal nga tipiganan sa pag-apod-apod. Sa ingon nga mga sitwasyon, ang usa mapugos sa pag-download niini gikan sa website sa vendor. Apan unsa ka kasiguro nga ang software package wala gisamok? Kini ang pangutana nga atong tinguhaon nga matubag. Sa kini nga giya, nagpunting kami kung giunsa pag-verify ang pirma sa PGP sa usa ka na-download nga pakete sa software sa Linux.

Ang PGP (Pretty Good Privacy) usa ka cryptographic nga aplikasyon nga gigamit alang sa pag-encrypt ug pagpirma sa mga file. Kadaghanan sa mga tagsulat sa software nagpirma sa ilang mga aplikasyon gamit ang PGP nga programa sama pananglit GPG (GNU Privacy Guard).

Ang GPG usa ka implementasyon sa cryptography sa OpenPGP ug kini makapahimo sa luwas nga pagpasa sa datos ug mahimo usab nga gamiton sa pagmatuod sa integridad sa tinubdan. Sa parehas nga paagi, mahimo nimong magamit ang GPG aron mapamatud-an ang pagkatinuod sa na-download nga software.

Ang pag-verify sa integridad sa na-download nga software usa ka 5-lakang nga pamaagi nga nagkinahanglan sa mosunod nga han-ay.

  • Pag-download sa publikong yawe sa tagsulat sa software.
  • Pagsusi sa fingerprint sa yawe.
  • Pag-import sa publikong yawe.
  • Pag-download sa Signature file sa software.
  • I-verify ang signature file.

Niini nga giya, atong gamiton ang Tixati - usa ka peer-to-peer file sharing program - isip usa ka pananglitan sa pagpakita niini. Na, na-download na namon ang pakete sa Debian gikan sa Opisyal nga panid sa pag-download.

I-verify ang PGP Signature sa Tixati

Diha-diha dayon, among i-download ang Awtor's Public key nga gigamit sa pag-verify sa bisan unsang pagpagawas. Ang link sa yawe gihatag sa ilawom sa panid sa pag-download sa Tixati.

Sa command line, kuhaa ang Public key gamit ang wget command sama sa gipakita.

$ wget https://www.tixati.com/tixati.key

Susiha ang Fingerprint sa Public key

Kung ma-download na ang yawe, ang sunod nga lakang mao ang pagsusi sa fingerprint sa Public key gamit ang gpg command sama sa gipakita.

$ gpg --show-keys tixati.key

Ang gipasiugda nga output mao ang fingerprint sa public key.

Import ang GPG Key

Kung nasusi na namo ang public fingerprint sa yawe, among i-import ang GPG key. Kini kinahanglan nga buhaton kausa lamang.

$ gpg --import tixati.key

Pag-download sa Signature File sa Software

Sunod, among i-download ang PGP signature file nga kasikbit lang sa Debian nga pakete sama sa gipakita. Ang signature file nagdala sa .asc file extension.

$ wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

I-verify ang Signature File

Katapusan, pamatud-i ang integridad sa software gamit ang signature file ug batok sa Debian package sama sa gipakita.

$ gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

Ang output sa ikatulo nga linya nagpamatuod nga ang Signature gikan sa tagsulat sa software, sa niini nga kaso, Tixati Software Inc. Ang linya sa ibabaw naghatag sa fingerprint nga motakdo sa fingerprint sa Public key. Kini ang kumpirmasyon sa pirma sa PGP sa software.

Kami nanghinaut nga kini nga giya naghatag ug mga panabut kung giunsa nimo mahimo ang pag-verify sa PGP sa usa ka na-download nga pakete sa software sa Linux.