Pred chvíľou sme diskutovali o kryptografických hashách (napríklad kontrolné súčty MD5 a SH1) a o tom, ako pomáhajú zaistiť, aby stiahnutý súbor bol rovnaký ako súbor, ktorý jeho tvorca zamýšľal stiahnuť, vytvorením jedinečného „odtlačku prsta“ súboru, ktorý môže byť skontrolované oproti originálu.


Schopnosť overiť integritu takmer každého súboru je dôležitá, ale keď sťahujeme softvér na ochranu osobných údajov a zabezpečenie z internetu, je to absolútne kritické. Aký je koniec koncov dôvera vášho súkromia a bezpečnosti programu, ktorý môže obsahovať vírus, najmä ak sa domnievate, že takýto softvér a jeho užívatelia sú bezpochyby vysokými prioritnými cieľmi NSA a jeho ilk?

Aj keď sťahujete softvér priamo z webových stránok dodávateľa alebo vývojára, môžete sa stať obeťou útoku Man-in-the-Middle (MitM), alebo samotná webová stránka môže byť rôznymi spôsobmi ohrozená..

Použitie kryptografických hashov je pokus o vyriešenie tohto problému, ale táto technika má, žiaľ, veľkú slabinu - napríklad vývojárova webová stránka môže byť hacknutá, aby namiesto hasenia pôvodného súboru mohla zobraziť hash kompromitovaného súboru, alebo ich matematické slabiny môžu spôsobiť neistotu. Haše sú preto užitočné pri overovaní, či súbor nebol poškodený, ale majú len obmedzený účinok na zabezpečenie toho, aby stiahnutý súbor bol rovnaký ako súbor, ktorého vývojári zamýšľajú stiahnuť.

Na zaistenie väčšej istoty môžu vývojári podpísať svoje súbory digitálnymi podpismi, ktoré používajú formu asymetrickej kryptografie (verejné kľúče a súkromné ​​kľúče) na overenie, či súbor je presne tým, čo tvrdí..

Diagram ukazujúci, ako sa používa a potom overuje digitálny podpis.

Digitálne podpisy PGP

Rôzne kryptografické systémy používajú rôzne mechanizmy na vytváranie a overovanie digitálnych podpisov. Napríklad systém Windows používa technológiu infraštruktúry verejných kľúčov spoločnosti Microsoft (PKI) na automatické overovanie podpisov pri prvej inštalácii softvéru.

Softvér s otvoreným zdrojovým kódom nemôže používať primeraný Microsoft PKI, a preto namiesto toho používa digitálne podpisy PGP. Ktoré sa potom musia overiť ručne. Fungujú veľmi podobne ako páry kľúčov používané na autentifikáciu e-mailov PGP, a ako uvidíme, overenie digitálnych podpisov PGP vyžaduje použitie poštového programu kompatibilného s PGP..

Bohužiaľ to tiež znamená, že podobne ako používanie PGP na zabezpečenie e-mailov, používanie digitálnych podpisov PGP je príliš zložité.

Ako overiť digitálny podpis pomocou Kleopatra GUI

Na overenie digitálneho podpisu súboru PGP musíte použiť klienta PGP (alebo presnejšie GnuPG - jeho klon s otvoreným zdrojom). Verzie GnuPG sú k dispozícii pre Windows (Gpg4win), Mac OSX a Linux (zvyčajne predinštalované).

V tomto návode overíme digitálny podpis Pidgin + OTR pomocou Gpg4win, ale tento proces je veľmi podobný pre ostatné verzie GnuPG..

Máme dvojdielny článok o používaní Gpg4win a dôrazne odporúčame prečítať si aspoň jeho 1. časť, aby ste sa oboznámili s kľúčovými koncepciami, ktoré sa budú používať nižšie..

Stiahnutie Gpg4win je digitálne podpísané pomocou kľúča, ktorý bol overený uznávanou certifikačnou autoritou (CA) a ktorý je možné nezávisle skontrolovať na overenie pomocou dôveryhodnej staršej kópie GnuPG (k dispozícii je tiež hash SHA1)). Nikdy by ste nemali dôverovať kópii Gpg4win, ktorú ste neoverili.

Po nainštalovaní GnuPG potrebujeme na overenie digitálneho podpisu tri veci:

  • Súbor, ktorý chceme overiť (duh!) Napr. inštalátor pidgin-otr-4.0.1.exe
  • Podpisový súbor PGP / GPG (.asc), napr. lámaný-OTR-4.0.1.exe.asc
  • Certifikát verejného kľúča / PGP použitý na vytvorenie tohto podpisu, napr. gpgkey.asc

Tieto súbory by mal (dúfajme) poskytnúť vývojár, ktorého digitálne podpísané súbory chcete overiť. Certifikáty verejného kľúča / PGP sa často ukladajú na serveri kľúčov, ale devs by mali poskytovať pokyny na prístup k nim.

Kleopatra

Kleopatra je program na správu kľúčov dodávaný s programom Gpg4win.

1. Na osvedčenie certifikátu PGP budete potrebovať osobný súkromný kľúč. Ak ste ho už predtým vytvorili (napríklad pomocou GPA), môžete ho importovať (File -> Importujte certifikáty ...) alebo môžete vytvoriť nový pár kľúčov (File -> Nový certifikát…).

Sprievodcovia vás prevedú zvyškom tohto procesu

2. Importujte certifikát verejného kľúča / PGP do Kleopatry - použite buď „Import certifikátov“ alebo kliknite pravým tlačidlom myši na súbor a vyberte „Importovať kľúče“.

3. Certifikujte certifikát PGP pomocou súkromného kľúča - to spoločnosti GnuPG oznámi, že dôverujete osobe, ktorá certifikát podpísala.

a) V Kleopatre kliknite pravým tlačidlom myši na kláves a vyberte možnosť „Certify Certificate“.

b) Vyberte certifikát a potvrďte, že ste overili jeho odtlačok prsta (dúfajme, že to bude zverejnené na webových stránkach vývojára)..

c) Pokiaľ si nie ste úplne istí pravosťou certifikátu, mali by ste certifikovať iba pre seba (certifikáty fungujú na princípe siete dôvery - čím viac ľudí, ktorým im dôverujete, tým je surovejšie, čím sú praví)..

d) Zadajte prístupovú frázu súkromného kľúča, aby ste dokončili overenie certifikátu.

4. Teraz, keď ste certifikovali certifikát, ktorý sa používa na vytvorenie podpisu pre stiahnutý súbor (whew!), Môžete ho použiť na overenie podpisu.

a) V Kleopatre choďte do zložky -> Dešifrovať / overiť súbory a vyhľadať súbor s podpisom alebo naň kliknite pravým tlačidlom myši a prejdite na možnosti MoreGpgEX -> overiť.

b) Uistite sa, že vstupným súborom je súbor s podpisom a či pole „Podpísané údaje“ obsahuje program alebo súbor, ktorý chcete overiť, a potom stlačte kláves „Dešifrovať / overiť“..

c) Ak je to v poriadku, Kleopatra vyhlási podpis za platný.

Ako môžem dôverovať certifikátu?

Najjednoduchší spôsob overenia platnosti certifikátu PGP je skontrolovať webovú stránku osoby, ktorá má certifikát podpísať ... s trochou šťastia zverejní odtlačok prsta certifikátu.

Aj keď je to ľahké, nezaručuje sa tým pravosť podpisu, pretože vláda mohla web napadnúť alebo prinútiť vládu, aby zobrazovala falošný odtlačok prsta (rovnaký problém, ktorý trápi kryptografické hashe)..

Tu prichádza web dôvery, kde používatelia ručia za certifikát. V praxi je to tajomný proces, ktorý je pre väčšinu používateľov príliš zložitý a príliš nejasný, takže to najlepšie, z čoho väčšina z nás môže dúfať, je, že certifikát bol uznaný uznávanou certifikačnou autoritou alebo podpísaný známymi vývojármi. ktorí zverejňujú svoje podpisovacie kľúče (napríklad vývojári Tor).

Pidgin + OTR je v niektorých ohľadoch zlým príkladom toho, ako by malo digitálne podpisovanie fungovať, pretože webová stránka OTR prichádza s takmer žiadnymi pokynmi, ako používať zverejnené kľúče, a jeho certifikát PGP sa nielen veľmi ťažko lokalizoval, ale bol iný ako dostupný z https://otr.cypherpunks.ca/gpgkey.asc neexistuje jednoduchý spôsob, ako overiť jeho autenticitu (skutočnosť, že používa 1024-bitový kľúč RSA, je tiež zlá ukážka v tomto veku, keď NSA pravdepodobne môže bezva tak slabé šifrovanie ).

Je to však dobrý príklad toho, prečo je celá predstava o digitálnych podpisoch taký neporiadok! K dispozícii je zaujímavá diskusia o tom, ako sa môžete pokúsiť overiť osvedčenie OTR.)

záver

Ako vidíte, overenie digitálneho podpisu je skutočne bolesť, takže niet divu, že aj tí, ktorí chápu žargónový proces s ťažkým žargónom, sa zriedka obťažujú. Problém je ešte horší tým, že mnohí devs nedokážu vysvetliť, ako overiť svoje súbory a / alebo vydávať nedbalé PGP certifikáty, ktoré sa dajú veľmi ťažko overiť, sú pravé (OTR-tím, pozeráme sa na vás!)

Skutočnosť, že digitálne podpisy zostávajú jediným zmysluplným spôsobom, ako zaručiť, že sťahované súbory sú tie, ktoré ste chceli sťahovať (alebo že ich vývojári ich chceli sťahovať), nie je pre zabezpečenie internetu dobré.

Kým však niekto nenavštívi lepší a užívateľsky prívetivejší systém, našou najlepšou nádejou je povzbudiť vývojárov, aby poskytovali jasné pokyny o tom, ako používať svoje digitálne podpisy, a aby zverejňovali zmysluplné záruky, pokiaľ ide o pravosť ich certifikátov PGP… (povzdych)

"Schéma digitálneho podpisu" Autor: Acdx - Vlastná práca. Licencované podľa CC BY-SA 3.0 prostredníctvom Wikimedia Commons - https://commons.wikimedia.org/wiki/File:Digital_Signature_diagram.svg#mediaviewer/File:Digital_Signature_diagram.svg

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me