Bienvenue à la partie 3 de GPG / PGP Key série.

Ce que nous allons apprendre: Dans cette partie, nous allons apprendre à vérifier la signature du fichier crypté qui se trouve couramment sur ​​les serveurs web qui offre des services de téléchargement.

Exemple: Supposons que vous décidez de télécharger de la Debian NetInstaller CD de Debian serveurs HTTP . Maintenant, vous remarquerez qu'il ya deux fichiers sur le serveur HTTP avec les noms:

  • MD5SUMS
  • MD5SUMS.sign

Si vous vous demandez comment utiliser ces deux fichiers, alors ce tutoriel est fait pour vous.

Étape 1: Téléchargez l'image ISO

Vous pouvez télécharger une image ISO que vous souhaitez à partir du serveur HTTP mais à cet effet tutoriel, nous allons utiliser le CD NetInstaller image comme un exemple. Donc, aller de l'avant et d'abord l'image ISO vers le bas. Supposons que vous avez téléchargé l'image ISO dans votre répertoire personnel - "/ home / kushalk"

Étape 2: Vérifiez le MD5SUM

Nous avons déjà couvert cette étape dans un de mes posts précédents . Je vous encourage fortement à le lire avant de lire cet article plus loin.

Maintenant, nous allons d'abord vérifier si l'image ISO que nous avons téléchargé n'a pas été altéré depuis qu'il a été chargé à l'origine. De nombreux pirates ne vont pirater les serveurs Web des moments et vont modifier les fichiers / images. Donc, nous devons nous assurer que ce que nous avons téléchargé est en effet ce que nous voulions. Ici, nous allons utiliser les fichiers MD5SUMS. Allez-y et téléchargez le fichier MD5SUMS également à votre "home / kushalk /" répertoire. Fondamentalement à ce point du temps, vous devriez avoir votre image ISO (de l'étape 1) et la MD5SUM (à partir de cette étape) à la fois dans votre répertoire personnel.

Une fois que vous avez à la fois de leur donner la commande suivante:

# md5sum -c MD5SUMS

et dans la sortie quelque part, vous devriez voir la ligne suivante (en vert):

debian-500-i386-CD-9.iso: ECHEC ouvert ou lu
md5sum: debian-500-i386-businesscard.iso: Aucun fichier ou répertoire
debian-500-i386-businesscard.iso: ECHEC ouvert ou lu
md5sum: debian-500-i386-kde-CD-1.iso: Aucun fichier ou répertoire
debian-500-i386-kde-CD-1.iso: PAS ouvrir ou de lire
debian-500-i386-netinst.iso: OK
md5sum: debian-500-i386-xfce + lxde-CD-1.iso

Nous recevons beaucoup de PAS et Aucun fichier ou répertoire message parce que vous venez de télécharger une image ISO et le fichier MD5SUMS contiennent des sommes de contrôle pour toutes les images ISO sur le serveur de la Debian.

Étape 3: Vérifier la signature cryptée


Maintenant, il ya un pas de plus supplémentaire pour vérifier si l'image ISO que nous avons téléchargé est vraiment authentique. Et nous le faire en vérifier la MD5SUMs.sign. En gros, dans cette étape, nous allons confirmer que la personne qui a généré le fichier de MD5SUMS est bien la personne à qui il / elle cliams être.

Imaginez - Que faire si une personne malveillante hacks le serveur, génère les fichiers ISO (avec un contenu faux) et génère également le fichier MD5SUMS correspondants et mettre en place là-bas. Maintenant, vous allez vers le serveur Web et de télécharger le fichier ISO et MD5SUMS et vérifier la somme de contrôle comme à l'étape 2 Bien sûr, il va vérifier la somme de contrôle, mais ce n'est pas ce que nous étions supposés télécharger. Et c'est pourquoi il est très essentiel pour confirmer que le fichier MD5SUMS est vraiment chargé par la personne qui est supposé.

Nous allons d'abord obtenir le Key-ID de la personne qui a réellement téléchargé le:

# gpg --verify MD5SUMS.sign

et vous devriez voir quelque chose comme ceci:

gpg: Signature faite samedi 14 février 2009 23:51:23 PST en utilisant la clé DSA ID 88C7C1F7
gpg: Impossible de vérifier la signature: clé publique introuvable

# gpg --recv-keys --keyserver hkp://subkeys.pgp.net 88C7C1F7

gpg: demande clé 88C7C1F7 de hkp serveur subkeys.pgp.net
gpg: clé 88C7C1F7: clé publique "Steve McIntyre <steve@einval.com>" importés
gpg: 3 marginale (s) nécessaire, 1 complète (s) nécessaire, modèle de confiance de PGP
gpg: profondeur: 0 valide: 1 signé: 0 confiance: 0 à, 0q, 0n, 0m, 0f, 1u
gpg: Nombre total de traitement: 1
gpg: importée: 1

Comme vous pouvez le voir, nous avons réussi à importer la clé de notre trousseau de clés. Vous pouvez le vérifier en donnant commande suivante:

# gpg --list-keys

pub 1024D / 88C7C1F7 30/01/1999
uid Steve McIntyre <steve@einval.com>
uid Steve McIntyre <93sam@debian.org>
uid Steve McIntyre <stevem@chiark.greenend.org.uk>
sous 1024g / 9315EA5D 30/01/1999

Enfin vous pouvez maintenant vérifier si le fichier MD5SUMS a été générée par Steve ou non.

# gpg --verify MD5SUMS.sign

gpg: Signature faite samedi 14 février 2009 23:51:23 PST en utilisant la clé DSA ID 88C7C1F7
gpg: Bonne signature de "Steve McIntyre <steve@einval.com>"
gpg: alias "Steve McIntyre <93sam@debian.org>"
gpg: alias "Steve McIntyre <stevem@chiark.greenend.org.uk>"
gpg: AVERTISSEMENT: Cette clé n'est pas certifiée avec une signature de confiance!
gpg: Il n'y a aucune indication que la signature appartient au propriétaire.
Empreinte de la clé primaire: AC65 6D79 E362 32CF 77BB B0E8 7C3B 7970 88C7 C1F7

Notes complémentaires:

En réalité, la manière que vous trouvez sur Key-ID de la personne est de savoir à l'avance (par exemple une key signing party) ou la personne qui vous envoie sa clé publique dans un e-mail ou un CD / disquette. Dans cet exemple, nous supposons que les serveurs Debian ne sont pas violés et les images ISO sont envoyés par Steve.

C'est tout! Félicitations! Vous avez vérifié avec succès votre image ISO et MD5SUMS fichier.

Partie 4: Signature / Chiffrement d'un fichier à l'aide de clé GPG / PGP

Soyez sociable, Partager!