PGP משמש לא רק לאבטחת מידע מאיומי סייבר אלא גם לבדיקת תקינות הקבצים.
הדרכה זו מסבירה בקלות כיצד פועלת PGP ו כיצד לאמת חתימות PGP .
כיצד פועל PGP
התמונה למטה מתארת מפתח ציבורי של PGP. ניתן לפענח מפתח ציבורי זה של PGP רק באמצעות מפתח PGP פרטי ספציפי. מנפיק המפתח הציבורי להלן הוציא גם מפתח PGP פרטי מכיוון שהם נוצרים באותו תהליך. הוא חולק רק את המפתח הציבורי.
אם תיקח את המפתח הציבורי שלו כדי להצפין אליו הודעה, הוא יוכל לפענח את ההודעה באמצעות המפתח הפרטי שלו. רק המפתח הפרטי שלו יכול לפענח את ההודעה שהצפנת באמצעות המפתח הציבורי שלו.
המידע מוצפן באמצעות המפתח הציבורי, ומפענח באמצעות המפתח הפרטי. זה נקרא הצפנה אסימטרית .
כך שגם אם תוקף מצליח ליירט את ההודעה ללא המפתח הפרטי, הוא אינו מסוגל לראות את תוכן ההודעה.
היתרון בהצפנה אסימטרית הוא הפשטות להחלפת מפתחות. אבל החיסרון שלו הוא שהוא לא יכול להצפין כמויות גדולות של נתונים, ולכן PGP מיישמת את שניהם.
הצפנה סימטרית מיושמת כאשר משתמשים במפתח הציבורי להצפנת הנתונים המוגנים. עם המפתח הציבורי, השולח עושה שני דברים: תחילה מייצר את ההצפנה הסימטרית כדי להגן על הנתונים, ולאחר מכן הוא מפעיל הצפנה אסימטרית, שאינה מצפינה את הנתונים עצמם, אלא את המפתח הסימטרי, המגן על הנתונים.
כדי להיות טכני יותר, לפני החלת המפתח הסימטרי, הנתונים נדחסים גם לפני הצפנתם עם המפתח הסימטרי והמפתח הציבורי. זרימת התרשים הבאה מציגה את כל התהליך:
חתימות PGP
PGP משמש גם לבדיקת תקינות החבילות. הדבר מושג באמצעות חתימה דיגיטלית, הניתנת לביצוע באמצעות PGP.
ראשית, PGP מייצר חשיש המוצפן באמצעות המפתח הפרטי. ניתן לפענח גם מפתח פרטי וגם חשיש באמצעות המפתח הציבורי.
PGP יוצר חתימה דיגיטלית, למשל, לתמונת ISO באמצעות אלגוריתמים DSA או RSA. במקרה זה, המפתח הפרטי מצורף לתוכנה או לתמונת ISO, בניגוד לפעולה שתוארה קודם לכן. המפתח הציבורי משותף גם הוא.
משתמשים משתמשים במפתח הציבורי כדי לאמת את החתימה המצורפת לתוכנה ששוחררה.
זרימת התרשים הבאה מראה כיצד המפתח הפרטי והחשיש מחוברים לתוכנה וכיצד המשתמש לוקח את התוכנה עם החשיש המצורף והמפתח הפרטי יחד עם המפתח הציבורי כדי לאמת את החתימה:
כיצד אוכל לאמת חתימת PGP?
הדוגמה הראשונה מראה כיצד לאמת את חתימת הליבה של לינוקס. כדי לנסות זאת, היכנס https://kernel.org ולהוריד גרסת ליבה וקובץ ה- PGP שלה. בדוגמה זו, אני אוריד קבצים linux-5.12.7.tar.xz ו linux-5.12.7.tar.sign .
הדוגמה הראשונה מראה כיצד לאמת את החתימה באמצעות פקודה אחת. על פי דף הגבר, שילוב האפשרויות הזה יופסק משימוש בגרסאות עתידיות. עם זאת, הוא עדיין נמצא בשימוש נרחב, ולמרות שהשילוב הספציפי ייפסק, האפשרויות יישארו.
האפשרות הראשונה –אפשרויות שרת מאפשר הגדרת אפשרויות עבור שרת המפתחות שבו מאוחסנים מפתחות ציבוריים. ביסודו של דבר, זה מאפשר ליישם אפשרויות אחזור של מפתחות ציבוריים.
ה –אפשרויות שרת משולב עם –אחזור מפתחות אוטומטי אפשרות לאחזר אוטומטית מפתחות ציבוריים משרת מפתחות בעת אימות חתימות.
כדי למצוא את המפתחות הציבוריים, פקודה זו תקרא את החתימה המחפשת שרת מקשים מועדף מוגדר או מזהה חותם באמצעות תהליך חיפוש באמצעות מדריך מפתחות האינטרנט.
gpg-אפשרויות שרתאחזור מקשים אוטומטי--תאשרlinux-5.12.7.tar.sign 
כפי שאתה יכול לראות, החתימה טובה, אך יש הודעת אזהרה שאומרת ש- gpg לא יכול לאשר שהחתימה שייכת לבעלים. כל אחד יכול להוציא חתימה בציבור בשם גרג קרוהן-הרטמן. אתה יודע שהחתימה לגיטימית מכיוון שאתה סומך על השרת שממנו הורדת אותו. במקרה זה, הוא מצוין בסימן ה-. הורד מ kernel.org.
אזהרה זו תמיד קיימת, ותוכל להימנע ממנה על ידי הוספת חתימות לרשימה מהימנה של חתימות באמצעות האפשרות –אמון עריכת מפתח . האמת היא שאף משתמש לא עושה את זה, וקהילת Gpg ביקשה להסיר את האזהרה.
אימות SHA256SUMS.gpg
בדוגמה הבאה, אוודא את תקינותה של תמונת Kali Linux ישנה שמצאתי בתיבה שלי. לשם כך הורדתי את קבצי SHA256SUMS.gpg ו- SHA256SUMS השייכים לאותה תמונת iso.
לאחר הורדת תמונת iso, SHA256SUMS.gpg ו- SHA256SUMS, עליך לקבל את המפתחות הציבוריים. בדוגמה הבאה, אני מביא את המפתחות באמצעות wget ו gpg –יבוא (קישור הוראות אימות Kali לשרת מפתחות זה).
לאחר מכן אני מאמת את תקינות הקובץ על ידי התקשרות ל- gpg עם -תאשר טַעֲנָה:
wget -q -אוֹ- https://archive.kali.org/archive-key.asc|gpg--יְבוּאgpg--תאשרSHA256SUMS.gpg SHA256SUMS
כפי שאתה יכול לראות, החתימה טובה, והאימות הצליח.
הדוגמה הבאה מראה כיצד לאמת הורדה של NodeJS. הפקודה הראשונה מחזירה שגיאה מכיוון שאין מפתח ציבורי. השגיאה מציינת שאני צריך לחפש את המפתח 74F12602B6F1C4E913FAA37AD3A89613643B6201. בדרך כלל, תוכל למצוא גם את מזהה המפתח בהוראות.
באמצעות האפשרות –שרת מקשים , אני יכול לציין את השרת שיחפש את המפתח. באמצעות האפשרות –מפתחות רווקים , אני מאחזר מפתחות. ואז האימות עובד:
gpg--תאשרSHASUMS256.txt.ascאני מעתיק את המפתח שאני צריך להביא ואז אני מפעיל:
gpg-שרת מפתחותpool.sks-keyservers.net-מפתחות recv74F12602B6F1C4E913FAA37AD3A89613643B6201
gpg--תאשרSHASUMS256.txt.asc
חיפוש מקשי gpg:
אם אחזור מפתחות אוטומטי אינו פועל ואינך יכול למצוא את ההוראות הספציפיות לאימות, תוכל לחפש את המפתח בשרת מפתחות באמצעות האפשרות –מקש חיפוש .
gpg-מקש חיפוש74F12602B6F1C4E913FAA37AD3A89613643B6201 
כפי שאתה יכול לראות, המפתח נמצא. תוכל גם לאחזר אותו על ידי לחיצה על מספר המקש שברצונך לאחזר.
סיכום
אימות תקינות ההורדות עשוי למנוע בעיות חמורות או להסביר אותן, למשל, כאשר התוכנה שהורדת אינה פועלת כראוי. התהליך עם gpg די קל, כפי שמוצג למעלה, כל עוד המשתמש מקבל את כל הקבצים הדרושים.
הבנת הצפנה אסימטרית או הצפנה מבוססת מפתחות ציבוריים ופרטיים היא צורך בסיסי באינטראקציה בטוחה באינטרנט, למשל, באמצעות חתימות דיגיטליות.
אני מקווה שהמדריך הזה בנושא חתימות PGP היה מועיל. המשך לעקוב אחר רמז לינוקס לקבלת עצות והדרכות נוספות של לינוקס.