Bienvenue à la partie 3 de GPG / PGP Key série.

Ce que nous allons apprendre: Dans cette partie, nous allons apprendre à vérifier le fichier de signature cryptée qui se trouve couramment sur ​​les serveurs Web qui offre des services de téléchargement.

Exemple: Supposons que vous décidez de télécharger de la Debian NetInstaller CD de Debian serveurs HTTP . Maintenant, vous remarquerez qu'il ya deux fichiers sur le serveur HTTP avec des noms:

  • MD5SUMS
  • MD5SUMS.sign

Si vous vous demandez comment utiliser ces deux fichiers, alors ce tutoriel est fait pour vous.

Étape 1: Téléchargez l'image ISO

Vous pouvez télécharger une image ISO que vous souhaitez à partir du serveur HTTP mais à cette fin tutoriel, nous allons utiliser le CD NetInstaller image d'exemple. Alors allez-y et premier bas de l'image ISO. Supposons que vous avez téléchargé l'image ISO dans votre répertoire home - "/ home / kushalk"

Étape 2: Vérifiez la MD5SUM

Nous avons déjà couvert cette étape dans un de mes posts précédents . Je vous encourage fortement à lire avant de lire cet article plus loin.

Maintenant nous allons d'abord vérifier si l'image ISO que nous avons téléchargé n'a pas été altéré depuis qu'il a été chargé à l'origine. Beaucoup de pirates ne vont pirater les serveurs Web des moments et vont modifier les fichiers / images. Donc, nous devons nous assurer que ce que nous avons téléchargé est en effet ce que nous voulions. Ici, nous allons utiliser les fichiers MD5SUMS. Allez-y et téléchargez le fichier de MD5SUMS également à votre répertoire «/ home / kushalk". Fondamentalement, à ce point du temps, vous devriez avoir votre image ISO (de l'étape 1) et la MD5SUM (à partir de cette étape) à la fois dans votre répertoire home.

Une fois que vous avez à la fois de leur donner la commande suivante:

# md5sum -c MD5SUMS

et dans la sortie quelque part, vous devriez voir la ligne suivante (en vert):

debian-500-i386-CD-9.iso: PAS ouvrir ou de lire
md5sum: debian-500-i386-businesscard.iso: répertoire Aucun fichier ou
debian-500-i386-businesscard.iso: PAS ouvrir ou de lire
md5sum: debian-500-i386-kde-CD-1.iso: répertoire Aucun fichier ou
debian-500-i386-kde-CD-1.iso: PAS ouvrir ou de lire
debian-500-i386-netinst.iso: OK
md5sum: debian-500-i386-xfce + lxde-CD-1.iso

Nous recevons beaucoup de PAS et tel message de fichier ou un répertoire, car vous venez de télécharger une image ISO et le fichier MD5SUMS contient des sommes de contrôle pour toutes les images ISO sur le serveur de la Debian.

Étape 3: Vérifier la signature cryptée


Maintenant, il ya un pas de plus supplémentaire pour vérifier si l'image ISO que nous avons téléchargé est vraiment authentique. Et nous faisons cela en vérifier la MD5SUMs.sign. En gros, dans cette étape, nous allons confirmer que la personne qui a généré le fichier MD5SUMS est bien la personne avec qui il / elle cliams être.

Imaginez - Que faire si une personne malveillante hacks le serveur, génère les fichiers ISO (avec une teneur faux) et génère également le fichier MD5SUMS correspondant et le mettre là-haut. Maintenant, vous allez vers le serveur Web et de télécharger le fichier ISO et MD5SUMS et vérifier la somme de contrôle comme dans l'étape 2. Bien sûr, il y vérifier la somme de contrôle, mais ce n'est pas ce que nous étions supposés télécharger. Et c'est pourquoi il est très essentiel pour confirmer que le fichier est vraiment MD5SUMS transféré par la personne qui est supposé.

Nous allons d'abord obtenir le Key-ID de la personne qui a réellement téléchargé le:

# gpg --verify MD5SUMS.sign

et vous devriez voir quelque chose comme ceci:

gpg: Signature faite sam 14 février 2009 23:51:23 PST en utilisant la clé DSA ID 88C7C1F7
gpg: Impossible de vérifier la signature: clé publique non trouvée

# gpg --recv-keys --keyserver hkp://subkeys.pgp.net 88C7C1F7

gpg: demander la clé 88C7C1F7 de hkp serveur subkeys.pgp.net
gpg: clé 88C7C1F7: clé publique "Steve McIntyre <steve@einval.com>" importé
gpg: 3 marginale (s) nécessaires, 1 complète (s) nécessaire, modèle de confiance PGP
gpg: profondeur: 0 valide: 1 signé: 0 confiance: 0 -, 0q, 0n, 0m, 0f, 1u
gpg: Nombre total traitées: 1
gpg: importée: 1

Comme vous pouvez le voir, nous avons réussi à importer la clé de notre trousseau de clés. Vous pouvez vérifier cela en donnant commande suivante:

# gpg --list-keys

pub 1024D/88C7C1F7 30/01/1999
uid Steve McIntyre <steve@einval.com>
uid Steve McIntyre <93sam@debian.org>
uid Steve McIntyre <stevem@chiark.greenend.org.uk>
sous 1024g/9315EA5D 30/01/1999

Enfin vous pouvez maintenant vérifier si le fichier a été MD5SUMS générée par Steve ou pas.

# gpg --verify MD5SUMS.sign

gpg: Signature faite sam 14 février 2009 23:51:23 PST en utilisant la clé DSA ID 88C7C1F7
gpg: Bonne signature de "Steve McIntyre <steve@einval.com>"
gpg: alias "Steve McIntyre <93sam@debian.org>"
gpg: alias "<stevem@chiark.greenend.org.uk> Steve McIntyre"
gpg: AVERTISSEMENT: Cette clé n'est pas certifiée avec une signature de confiance!
gpg: Il n'ya aucune indication que la signature appartient au propriétaire.
Empreinte de la clé primaire: AC65 6D79 E362 32CF 77BB B0E8 7C3B 7970 88C7 C1F7

Notes complémentaires:

En réalité, la façon dont vous découvrirez Key-ID de la personne est de savoir à l'avance (par exemple une key signing party) ou la personne vous envoie sa clé publique dans un e-mail ou un CD / Floppy. Dans cet exemple, nous supposons que les serveurs Debian ne sont pas violés et les images ISO sont envoyés par Steve.

C'est tout! Félicitations! Vous avez vérifié avec succès l'image de votre fichier ISO et MD5SUMS.

Partie 4: Signature / Chiffrement d'un fichier en utilisant GPG / PGP

Soyez sociable, Partager!