Bienvenue à la partie 3 de GPG / PGP Key série.

Ce que nous allons apprendre: Dans cette partie, nous allons apprendre à vérifier la signature du fichier crypté qui se trouve couramment sur ​​les serveurs web qui offre des services de téléchargement.

Exemple: Supposons que vous décidez de télécharger la Debian NetInstaller CD de Debian serveurs HTTP . Maintenant, vous remarquerez qu'il ya deux fichiers sur le serveur HTTP avec des noms:

  • MD5SUMS
  • MD5SUMS.sign

Si vous vous demandez comment utiliser ces deux fichiers alors ce tutoriel est fait pour vous.

Étape 1: Téléchargez l'image ISO

Vous pouvez télécharger une image ISO que vous souhaitez à partir du serveur HTTP mais à cette fin de tutoriel, nous allons utiliser le CD NetInstaller image d'exemple. Alors allez-y et premier essai de l'image ISO. Supposons que vous avez téléchargé l'image ISO dans votre répertoire home - "/ home / kushalk"

Étape 2: Vérifiez le MD5SUM

Nous avons déjà couvert cette étape dans un de mes posts précédents . Je vous encourage fortement à le lire avant de lire cet article plus loin.

Maintenant, nous allons d'abord vérifier si l'image ISO que nous avons téléchargé n'a pas été altéré depuis qu'il a été chargé initialement. De nombreux pirates ne vont pirater les serveurs web quelques fois et vont modifier les fichiers / images. Donc, nous devons nous assurer que ce que nous avons téléchargé est en effet ce que nous voulions. Ici, nous allons utiliser les MD5SUMS de fichiers. Allez-y et télécharger le fichier MD5SUMS également à votre "/ home / kushalk" répertoire. Fondamentalement, à ce point du temps, vous devriez avoir votre image ISO (de l'étape 1) et le MD5SUM (à partir de cette étape) à la fois dans votre répertoire home.

Une fois que vous avez à la fois de leur donner la commande suivante:

# md5sum -c MD5SUMS

et à la sortie quelque part, vous devriez voir la ligne suivante (en vert):

debian-500-i386-CD-9.iso: Impossible ouvrir ou lire
md5sum: debian-500-i386-businesscard.iso: No such file or directory
debian-500-i386-businesscard.iso: Impossible ouvrir ou lire
md5sum: debian-500-i386-kde-CD-1.iso: No such file or directory
debian-500-i386-kde-CD-1.iso: Impossible ouvrir ou lire
debian-500-i386-netinst.iso: OK
md5sum: debian-500-i386-xfce + lxde-CD-1.iso

Nous recevons beaucoup d'échecs et Aucun fichier ou un message de répertoire parce que vous venez de télécharger une image ISO et le fichier de MD5SUMS contient des sommes de contrôle pour toutes les images ISO sur le serveur de la Debian.

Étape 3: Vérifier la signature cryptée


Maintenant, il ya un pas de plus supplémentaire pour vérifier si l'image ISO que nous avons téléchargé est vraiment authentique. Et nous faisons cela en vérifier la MD5SUMs.sign. En gros, dans cette étape, nous allons confirmer que la personne qui a généré le fichier MD5SUMS est bien la personne avec qui il / elle cliams être.

Imaginez ceci - Que faire si une personne malveillante hacks le serveur, génère les fichiers ISO (avec un contenu faux) et génère également le fichier MD5SUMS correspondant et le mettre là-haut. Maintenant, vous allez vers le serveur Web et de télécharger le fichier ISO et MD5SUMS et vérifiez la somme de contrôle comme dans l'étape 2. Bien sûr, il va vérifier la somme de contrôle, mais ce n'est pas ce que nous étions supposés télécharger. Et c'est pourquoi il est très important de confirmer que le fichier MD5SUMS est vraiment envoyé par la personne qui est supposé.

Nous allons d'abord obtenir le Key-ID de la personne qui a réellement envoyé le:

# gpg --verify MD5SUMS.sign

et vous devriez voir quelque chose comme ceci:

gpg: Signature faite sam 14 février 2009 23:51:23 PST avec clé DSA ID 88C7C1F7
gpg: Impossible de vérifier la signature: clé publique introuvable

# gpg --recv-keys --keyserver hkp://subkeys.pgp.net 88C7C1F7

gpg: demander 88C7C1F7 clés de hkp serveur subkeys.pgp.net
gpg: key 88C7C1F7: clé publique "Steve McIntyre <steve@einval.com>« importé
gpg: 3 marginale (s) nécessaires, 1 complète (s) nécessaires, modèle de confiance PGP
gpg: profondeur: 0 valide: 1 signé: 0 confiance: 0 -, 0q, 0n, 0m, 0f, 1U
gpg: Quantité totale traitée: 1
gpg: importée: 1

Comme vous pouvez le voir, nous avons réussi à importer la clé dans notre trousseau de clés. Vous pouvez vérifier cela en donnant commande suivante:

# gpg --list-keys

pub 1024D/88C7C1F7 1999-01-30
uid Steve McIntyre <steve@einval.com>
uid Steve McIntyre <93sam@debian.org>
uid Steve McIntyre <stevem@chiark.greenend.org.uk>
sous 1024g/9315EA5D 1999-01-30

Enfin vous pouvez maintenant vérifier si le fichier MD5SUMS a été générée par Steve ou non.

# gpg --verify MD5SUMS.sign

gpg: Signature faite sam 14 février 2009 23:51:23 PST avec clé DSA ID 88C7C1F7
gpg: Bonne signature de «Steve McIntyre <steve@einval.com>"
gpg: alias «Steve McIntyre <93sam@debian.org>"
gpg: alias «Steve McIntyre <stevem@chiark.greenend.org.uk>"
gpg: AVERTISSEMENT: Cette clé n'est pas certifiée avec une signature de confiance!
gpg: Il n'ya aucune indication que la signature appartient au propriétaire.
Primary key fingerprint: AC65 6D79 E362 32CF 77BB B0E8 7C3B 7970 88C7 C1F7

Notes supplémentaires:

En réalité, la façon dont vous découvrirez clé de l'ID de la personne est de connaître à l'avance (par exemple une key signing party) ou la personne qui vous envoie sa clé publique dans un e-mail ou un CD / Floppy. Dans cet exemple, nous supposons que les serveurs Debian ne sont pas violées, et les images ISO sont téléchargées par Steve.

C'est tout! Félicitations! Vous avez vérifié avec succès votre fichier image ISO et MD5SUMS.

Partie 4: Signature / Chiffrement d'un fichier en utilisant GPG / PGP clé

Soyez sociable, Partager!

Autres Related Posts: