Prieš kurį laiką diskutavome apie kriptografines maišos (pvz., MD5 ir SH1 kontrolines sumas) ir kaip jos padeda užtikrinti, kad atsisiųstas failas yra tas pats failas, kurį jo kūrėjas ketino atsisiųsti sukurdamas unikalų failo, kurio gali būti, „pirštų atspaudai“. patikrinta pagal originalą.


Svarbu galimybė patikrinti beveik bet kokio failo vientisumą, tačiau kai iš interneto atsisiunčiame privatumo ir saugos programinę įrangą, tai yra be galo svarbu. Galų gale, kokia prasmė patikėti savo privatumu ir saugumu programai, kurioje gali būti virusas, ypač kai manote, kad tokia programinė įranga ir jos vartotojai yra be jokios abejonės svarbūs NSA ir jos požymių prioritetai?

Net atsisiųsdami programinę įrangą tiesiai iš pardavėjo ar kūrėjų svetainės, galite nukentėti nuo „Man-in-the-Middle“ (MitM) išpuolių arba pati svetainė gali būti pažeista įvairiais būdais..

Kriptografinių maišų naudojimas yra bandymas išspręsti šią problemą, tačiau, deja, technika turi didelę silpnybę - pavyzdžiui, kūrėjo svetainė gali būti nulaužta, kad būtų rodoma kompromituoto failo maiša, o ne originalas, arba matematiniai pažeidžiamumai gali padaryti juos nesaugius. Taigi maišos yra naudingos tikrinant, ar failas nebuvo sugadintas, tačiau yra tik riboto naudojimo užtikrinant, kad atsisiųstas failas yra tas pats failas, kurį kūrėjai ketina atsisiųsti..

Norėdami suteikti daugiau garantijų, kūrėjai gali pasirašyti savo failus skaitmeniniais parašais, kuriuose naudojama asimetrinė kriptografija (viešieji raktai ir privatieji raktai), kad būtų galima įsitikinti, ar failas yra būtent toks, koks, kaip jis teigia..

Diagrama, rodanti, kaip skaitmeninis parašas yra pritaikytas ir patikrintas.

PGP skaitmeniniai parašai

Skirtingos kriptografinės sistemos naudoja skirtingus mechanizmus, kad sukurtų ir patvirtintų skaitmeninius parašus. Pavyzdžiui, „Windows“ naudoja „Microsoft“ viešojo rakto infrastruktūros (PKI) technologiją, kad automatiškai patikrintų parašus, kai programinė įranga pirmą kartą įdiegiama.

Atvirojo kodo programinė įranga negali naudoti tinkamo „Microsoft PKI“, todėl naudoja PGP skaitmeninius parašus. Kuris tada turi būti patvirtintas rankiniu būdu. Jie veikia labai panašiai kaip raktų poros, naudojamos autentifikuojant PGP el. Laiškus, ir, kaip matysime, norint patikrinti PGP skaitmeninius parašus reikia naudoti su PGP suderinamą pašto programą..

Deja, tai taip pat reiškia, kad, kaip naudoti PGP el. Laiškams saugoti, PGP skaitmeninių parašų naudojimas yra pernelyg sudėtingas.

Kaip patikrinti skaitmeninį parašą naudojant „Kleopatra“ GUI

Norėdami patikrinti failo PGP skaitmeninį parašą, turite naudoti PGP klientą (arba tiksliau - „GnuPG“ - jo atvirojo kodo kloną). „GnuPG“ versijos yra „Windows“ (Gpg4win), „Mac OSX“ ir „Linux“ (paprastai iš anksto įdiegtos).

Šiame vadove mes patikrinsime „Pidgin + OTR“ skaitmeninį parašą naudodami „Gpg4win“, tačiau kitose „GnuPG“ versijose procesas yra labai panašus..

Turime dviejų dalių straipsnį apie „Gpg4win“ naudojimą ir labai rekomenduojame perskaityti bent jo 1 dalį, kad susipažintumėte su pagrindinėmis sąvokomis, kurios bus naudojamos toliau.

Pats „Gpg4win“ atsisiuntimas yra skaitmeniniu būdu pasirašytas raktu, kurį patvirtino pripažinta sertifikatų institucija (CA) ir kurį galima savarankiškai patikrinti norint patikrinti, ar naudojama patikima senesnė „GnuPG“ kopija (taip pat galima SHA1 maišos priemonė).. Niekada neturėtumėte pasitikėti „Gpg4win“ kopija, kurios nepatvirtinote.

Įdiegus „GnuPG“, skaitmeniniam parašui patvirtinti reikia trijų dalykų:

  • Failas, kurį norime patikrinti (duh!) Pvz. „pidgin-otr-4.0.1.exe“ diegimo programa
  • PGP / GPG parašo failas (.asc), pvz. pidgin-otr-4.0.1.exe.asc
  • Šiam parašui sukurti naudojamas viešasis raktas / PGP sertifikatas, pvz. gpgkey.asc

Šiuos failus (tikiuosi) turėtų pateikti kūrėjas, kurio pasirašytus failus norite patikrinti. Viešojo rakto / PGP sertifikatai dažnai saugomi klaviatūros tarnybinėje stotyje, tačiau programinės įrangos versijoje turėtų būti nurodymai, kaip juos pasiekti.

Kleopatra

„Kleopatra“ yra pagrindinė valdymo programa, sujungta su „Gpg4win“.

1. Norėdami patvirtinti PGP sertifikatą, jums reikės asmeninio asmeninio rakto. Jei jau sukūrėte anksčiau (pavyzdžiui, naudodamiesi GPA), tuomet galite jį importuoti (Failas -> Importuoti pažymėjimus ...) arba galite sukurti naują raktų porą (Failas -> Naujas pažymėjimas ...).

Vedliai padės jums per likusį procesą

2. Importuokite viešąjį raktą / PGP sertifikatą į „Kleopatra“ - naudokite „Importuoti sertifikatus“ arba dešiniuoju pelės mygtuku spustelėkite failą ir pasirinkite „Importuoti raktus“..

3. Sertifikuokite PGP sertifikatą naudodamiesi asmeniniu raktu - tai „GnuPG“ nurodo, kad pasitikite asmeniu, kuris pasirašė sertifikatą.

a) Kleopatroje dešiniuoju pelės mygtuku spustelėkite mygtuką ir pasirinkite „Patvirtinti sertifikatą“.

b) Pasirinkite pažymėjimą ir patvirtinkite, kad patikrinote jo pirštų atspaudus (tikimės, kad jis bus paskelbtas kūrėjo svetainėje).

c) Jei nesate tikri dėl sertifikato autentiškumo, turėtumėte sertifikuoti tik save (pažymėjimai veikia pasitikėjimo internete principu - kuo daugiau žmonių jais pasitiki, tuo tikresni galite būti tikri)..

d) Norėdami baigti sertifikato patikrinimą, įveskite savo asmeninio rakto slaptafrazę.

4. Dabar, kai patvirtinote sertifikatą, naudojamą atsiųsto failo parašui sudaryti (WHW!), Galite naudoti jį parašui patikrinti.

a) Kleopatroje eikite į failą -> Iššifruokite / patikrinkite failus ir naršykite po parašo failą arba spustelėkite jį dešiniuoju pelės mygtuku ir eikite į „MoreGpgEX“ parinktis -> Patikrinkite.

b) Įsitikinkite, kad įvesties failas yra parašo failas ir kad lauke „Pasirašyti duomenys“ yra programa ar failas, kurį norite patikrinti, tada paspauskite „Iššifruoti / patvirtinti“..

c) Viskas gerai, Kleopatra paskelbia parašą galiojančiu.

Kaip galiu patikėti pažymėjimu??

Paprasčiausias būdas patikrinti, ar PGP sertifikatas galioja, yra patikrinti asmens, kuris tariamai pasirašė pažymėjimą, svetainę ... su pasisekimu paskelbs pažymėjimo pirštų atspaudus..

Vis dėlto, nors ir lengva, tai negarantuoja parašo autentiškumo, nes vyriausybė gali būti nulaužta ar priversta svetainę parodyti suklastotą pirštų atspaudą (ta pati problema, kuri vargina kriptografines maišas).

Čia atsiranda pasitikėjimo žiniatinklis, kuriame vartotojai laimi sertifikatą. Praktiškai tai yra slaptas procesas, kuris daugumai vartotojų yra per sudėtingas ir per daug neaiškus, todėl geriausia, ko dauguma iš mūsų gali tikėtis, yra tai, kad sertifikatą patvirtino pripažinta sertifikatų tarnyba arba pasirašė žinomi kūrėjai kurie skelbia savo pasirašymo raktus (kaip daro, pavyzdžiui, „Tor“ kūrėjai).

Pidgin + OTR tam tikru atžvilgiu yra blogas pavyzdys, kaip turėtų veikti skaitmeninis pasirašymas, nes OTR tinklalapyje beveik nėra instrukcijų, kaip naudoti jo skelbiamus raktus, o jo PGP sertifikatą buvo ne tik labai sunku rasti, bet ir buvo prieinamas iš https://otr.cypherpunks.ca/gpgkey.asc nėra paprasčiausio būdo patikrinti jo autentiškumą (tai, kad naudojamas 1024 bitų RSA raktas, taip pat prastas šio amžiaus demonstravimas, kai NSA tikriausiai gali nulaužti tokį silpną šifravimą ).

Tačiau tai yra geras pavyzdys, kodėl visa skaitmeninių parašų samprata yra tokia netvarka! Čia galite rasti įdomią diskusiją apie tai, kaip galite pabandyti patvirtinti OTR sertifikatą.)

Išvada

Kaip matote, skaitmeninio parašo patikrinimas išties yra skausmas, todėl nenuostabu, kad net tie, kurie supranta žargono sunkumą keliantį procesą, retai vargina. Problemą dar labiau apsunkina tai, kad daugelis devynių nepavyksta paaiškinti, kaip patikrinti savo failus, ir (arba) išduoda negarbingus PGP sertifikatus, kuriuos labai sunku patikrinti, yra autentiški (OTR komanda, mes žiūrime į jus!)

Tai, kad skaitmeniniai parašai išlieka vieninteliu prasmingu būdu garantuoti, kad atsisiunčiami failai yra tie, kuriuos ketinote atsisiųsti (arba kad jų devas norėjo atsisiųsti), nepadeda gerinti interneto saugumo..

Tačiau kol kas nors nesugalvos geresnės, patogesnės sistemos, mūsų geriausia viltis yra paskatinti „dev“ įmones pateikti aiškias instrukcijas, kaip naudoti savo skaitmeninius parašus, ir paskelbti reikšmingas garantijas dėl jų PGP sertifikatų autentiškumo… (atodūsis)

"Skaitmeninio parašo schema" autorius Acdx - Savas darbas. Licencijuota naudojant „CC BY-SA 3.0“ per „Wikimedia Commons“ - https://commons.wikimedia.org/wiki/File:Digital_Signature_diagram.svg#mediaviewer/File:Digital_Signature_diagram.svg

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me