PGP используется не только для защиты информации от киберугроз, но и для проверки целостности файлов.
Это руководство легко объясняет, как работает PGP и как проверить подписи PGP .
Как работает PGP
На изображении ниже изображен открытый ключ PGP. Этот открытый ключ PGP можно расшифровать только с помощью определенного частного ключа PGP. Эмитент открытого ключа ниже также выпустил закрытый ключ PGP, поскольку они генерируются в одном процессе. Он делится только открытым ключом.
Если вы возьмете его открытый ключ, чтобы зашифровать ему сообщение, он сможет расшифровать сообщение, используя свой закрытый ключ. Только его закрытый ключ может расшифровать сообщение, которое вы зашифровали с помощью его открытого ключа.
Информация зашифровывается с помощью открытого ключа и расшифровывается с помощью закрытого ключа. Это называется асимметричное шифрование .
Таким образом, даже если злоумышленнику удастся перехватить сообщение без закрытого ключа, он не сможет увидеть содержимое сообщения.
Преимущество асимметричного шифрования - простота обмена ключами. Но его недостаток в том, что он не может зашифровать большие объемы данных, и поэтому PGP реализует их оба.
Симметричное шифрование применяется, когда открытый ключ используется для шифрования защищенных данных. С открытым ключом отправитель делает две вещи: сначала генерирует симметричное шифрование для защиты данных, а затем применяет асимметричное шифрование, которое шифрует не сами данные, а симметричный ключ, который защищает данные.
Говоря более технически, перед применением симметричного ключа данные также сжимаются перед шифрованием симметричным ключом и открытым ключом. Следующая диаграмма показывает весь процесс:
Подписи PGP
PGP также используется для проверки целостности пакетов. Это достигается с помощью цифровой подписи, которую можно сделать с помощью PGP.
Во-первых, PGP генерирует хеш-код, зашифрованный закрытым ключом. И закрытый ключ, и хэш можно расшифровать с помощью открытого ключа.
PGP создает цифровую подпись, например, для образа ISO с использованием алгоритмов DSA или RSA. В этом случае закрытый ключ прикрепляется к программному обеспечению или образу ISO, в отличие от операции, описанной ранее. Открытый ключ также является общим.
Пользователи используют открытый ключ для проверки подписи, прикрепленной к выпущенному программному обеспечению.
На следующей диаграмме показано, как закрытый ключ и хэш прикрепляются к программному обеспечению и как пользователь использует программное обеспечение с прикрепленным хешем и закрытым ключом вместе с открытым ключом для проверки подписи:
Как проверить подпись PGP?
В первом примере показано, как проверить подпись ядра Linux. Чтобы попробовать, откройте https://kernel.org и загрузите версию ядра и его файл PGP. Для этого примера я буду скачивать файлы linux-5.12.7.tar.xz а также linux-5.12.7.tar.sign .
В первом примере показано, как проверить подпись с помощью одной команды. Согласно справочной странице, эта комбинация опций будет устаревшей в будущих версиях. Тем не менее, он по-прежнему широко используется, и, хотя конкретная комбинация будет устаревшей, параметры останутся.
Первый вариант –Keyserver-options позволяет определять параметры для сервера ключей, на котором хранятся открытые ключи. По сути, это позволяет реализовать параметры выборки открытых ключей.
В –Keyserver-options сочетается с –Auto-key-retrieve возможность автоматического получения открытых ключей с сервера ключей при проверке подписей.
Чтобы найти открытые ключи, эта команда будет считывать подпись в поисках определенного предпочтительного сервера ключей или идентификатора подписывающего лица в процессе поиска с использованием Каталога веб-ключей.
gpg--keyserver-optionsавтоматический поиск ключа--проверятьlinux-5.12.7.tar.sign 
Как видите, подпись хороша, но есть предупреждающее сообщение о том, что gpg не может подтвердить, что подпись принадлежит владельцу. Кто угодно может поставить публичную подпись как Грег Крохан-Хартман. Вы знаете, что подпись действительна, потому что доверяете серверу, с которого ее загрузили. В этом случае он указан в .sign, загруженном с kernel.org.
Это предупреждение присутствует всегда, и его можно избежать, добавив подписи в список доверенных подписей с помощью параметра –Edit-key trust . По правде говоря, ни один пользователь этого не делает, и сообщество Gpg запросило удаление предупреждения.
Проверка SHA256SUMS.gpg
В следующем примере я проверю целостность старого образа Kali Linux, который я нашел в своем ящике. Для этого я загрузил файлы SHA256SUMS.gpg и SHA256SUMS, принадлежащие одному и тому же ISO-образу.
После загрузки образа iso, SHA256SUMS.gpg и SHA256SUMS вам необходимо получить открытые ключи. В следующем примере я получаю ключи, используя wget а также gpg –import (Инструкции по проверке Kali ссылаются на этот сервер ключей).
Затем я проверяю целостность файла, вызывая gpg с -проверять аргумент:
wget -q -ИЛИ- https://archive.kali.org/archive-key.asc|gpg--Импортироватьgpg--проверятьSHA256SUMS.gpg SHA256SUMS
Как видите, подпись хорошая, проверка прошла успешно.
В следующем примере показано, как проверить загрузку NodeJS. Первая команда возвращает ошибку, потому что нет открытого ключа. Ошибка указывает на то, что мне нужно найти ключ 74F12602B6F1C4E913FAA37AD3A89613643B6201. Обычно вы также можете найти идентификатор ключа в инструкции.
Используя опцию –Keyserver , Я могу указать сервер для поиска ключа. Используя опцию –Recv-keys , Я достаю ключи. Тогда проверка работает:
gpg--проверятьSHASUMS256.txt.ascЯ копирую ключ, который мне нужно получить, а затем запускаю:
gpg--серверpool.sks-keyservers.net--recv-keys74F12602B6F1C4E913FAA37AD3A89613643B6201
gpg--проверятьSHASUMS256.txt.asc
Поиск ключей gpg:
Если автоматическое получение ключей не работает и вы не можете найти инструкции для проверки, вы можете выполнить поиск ключа на сервере ключей, используя опцию –Search-key .
gpg- поисковый ключ74F12602B6F1C4E913FAA37AD3A89613643B6201 
Как видите, ключ был найден. Вы также можете получить его, нажав номер клавиши, которую вы хотите получить.
Заключение
Проверка целостности загружаемых файлов может предотвратить серьезные проблемы или объяснить их, например, когда загруженное программное обеспечение работает некорректно. Как показано выше, процесс с gpg довольно прост, если пользователь получает все необходимые файлы.
Понимание асимметричного шифрования или шифрования на основе открытых и закрытых ключей является основной необходимостью для безопасного взаимодействия в Интернете, например, с использованием цифровых подписей.
Я надеюсь, что это руководство по подписям PGP было полезным. Следуйте подсказкам по Linux, чтобы получить больше советов и руководств по Linux.