Sudah lama kita membincangkan hash cryptographic (seperti MD5 dan SH1 checksums), dan bagaimana mereka membantu memastikan bahawa fail yang anda muat turun adalah fail yang sama yang dicipta oleh pencipta anda untuk mencipta dengan 'sidik jari' unik fail yang boleh diperiksa dengan asal.


Keupayaan untuk mengesahkan integriti mengenai mana-mana fail adalah penting, tetapi apabila kita memuat turun perisian privasi dan keselamatan dari internet, ia benar-benar kritikal. Lagipun, apa gunanya mempercayai privasi dan keselamatan anda kepada program yang mungkin mengandungi virus, terutamanya apabila anda menganggap bahawa perisian dan pengguna itu tanpa sebarang keraguan sasaran keutamaan yang tinggi untuk NSA dan mana-mana?

Walaupun anda memuat turun perisian terus dari laman web vendor atau pemaju, anda mungkin menjadi mangsa serangan Man-in-the-Middle (MitM), atau laman web itu sendiri mungkin dikompromikan dalam pelbagai cara.

Menggunakan hash kriptografi adalah satu cubaan untuk menyelesaikan masalah ini, namun sayangnya teknik itu mempunyai kelemahan utama - contohnya, laman web pemaju mungkin digodam untuk memaparkan hash fail yang dikompromikan daripada kelemahan asal atau matematik yang boleh membuat mereka tidak selamat. Oleh itu, sengatan adalah berguna dalam mengesahkan bahawa fail tidak rosak, tetapi hanya penggunaan terhad untuk memastikan fail yang anda muatkan adalah fail yang sama pemajunya berhasrat untuk memuat turun.

Untuk memberi jaminan yang lebih tinggi ini, pemaju boleh menandatangani fail mereka dengan tandatangan digital, yang menggunakan bentuk kriptografi asimetris (kunci awam dan kunci persendirian) untuk mengesahkan bahawa fail adalah tepat apa yang dikatakannya.

Rajah yang menunjukkan bagaimana tandatangan digital digunakan dan kemudian disahkan.

Tandatangan digital PGP

Sistem kriptografi yang berbeza menggunakan mekanisme yang berbeza untuk membuat dan mengesahkan tanda tangan digital. Sebagai contoh, Windows menggunakan infrastruktur utama awam Microsoft (PKI) untuk mengesahkan tandatangan secara automatik apabila perisian mula dipasang.

Perisian sumber terbuka tidak boleh menggunakan kesesuaian Microsoft PKI, dan sebaliknya menggunakan tanda tangan digital PGP. Yang mesti kemudiannya disahkan secara manual. Kerja-kerja ini sangat mirip pasangan utama yang digunakan untuk mengesahkan e-mel PGP, dan seperti yang akan kita lihat, mengesahkan tanda tangan digital PGP memerlukan menggunakan program mel yang serasi PGP.

Malangnya, ini juga bermakna bahawa seperti menggunakan PGP untuk mendapatkan e-mel yang selamat, menggunakan tandatangan digital PGP terlalu rumit.

Bagaimana untuk mengesahkan tandatangan digital menggunakan GUI Kleopatra

Untuk mengesahkan tandatangan digital PGP fail anda mesti menggunakan klien PGP (atau lebih tepat GnuPG - klon sumber terbukanya). Versi GnuPG boleh didapati untuk Windows (Gpg4win), Mac OSX, dan Linux (biasanya pra-pasang).

Dalam tutorial ini, kami akan mengesahkan tandatangan digital Pidgin + OTR menggunakan Gpg4win, tetapi prosesnya sangat serupa untuk versi lain GnuPG.

Kami mempunyai artikel dua bahagian menggunakan Gpg4win, dan kami sangat mengesyorkan membaca sekurang-kurangnya Bahagian 1 untuk membiasakan diri dengan konsep utama yang akan digunakan di bawah.

Unduh Gpg4win sendiri ditandatangani secara digital dengan kunci yang telah diverifikasi oleh pihak berwenang sertifikat yang diakui (CA), dan yang dapat diperiksa secara bebas untuk verifikasi menggunakan salinan lama GnuPG yang sudah dipercaya (hash SHA1 juga tersedia). Anda tidak sepatutnya mempercayai salinan Gpg4win yang belum anda sahkan.

Sebaik sahaja GnuPG dipasang, kita memerlukan tiga perkara untuk mengesahkan tandatangan digital:

  • Fail yang kami mahu sahkan (duh!) Mis. pemasang pidgin-otr-4.0.1.exe
  • Fail tandatangan PGP / GPG (.asc) mis. pidgin-otr-4.0.1.exe.asc
  • Sijil utama / PGP awam yang digunakan untuk membuat tandatangan ini contohnya. gpgkey.asc

Fail-fail ini sepatutnya (mudah-mudahan) disediakan oleh pemaju yang fail digital yang ditandatangani anda ingin mengesahkan. Sijil umum / Sijil PGP sering disimpan pada kunci kunci, tetapi devs harus memberikan arahan untuk mengaksesnya.

Kleopatra

Kleopatra adalah program pengurusan utama yang digabungkan dengan Gpg4win.

1. Anda akan memerlukan kunci persendirian peribadi untuk mengesahkan sijil PGP. Sekiranya anda telah membuat satu sebelum ini (misalnya menggunakan IPK), anda boleh mengimportnya (Fail -> Import Sijil ...), atau anda boleh membuat pasangan kunci baharu (Fail -> Sijil Baru ...).

Ahli sihir akan membimbing anda sepanjang proses ini

2. Import sijil utama / PGP ke Kleopatra - menggunakan sama ada 'Import Certificates' atau klik kanan pada fail dan pilih 'Import keys'.

3. Sahkan sijil PGP menggunakan kunci peribadi anda - ini memberitahu GnuPG bahawa anda mempercayai orang yang menandatangani sijil tersebut.

a) Di Kleopatra klik kanan pada kekunci dan pilih 'Certify Certificate'.

b) Pilih sijil, dan sahkan bahawa anda telah mengesahkan cap jarinya (semoga ini akan diterbitkan di laman web pembangun).

c) Sekiranya anda tidak pasti tentang keaslian sijil, maka anda harus mengesahkan hanya untuk diri anda sendiri (sijil bekerja pada prinsip web kepercayaan - lebih banyak orang yang mempercayai mereka, lebih baik anda boleh menjadi yang asli).

d) Masukkan frasa laluan utama peribadi anda untuk menyelesaikan mengesahkan sijil.

4. Sekarang bahawa anda telah mengesahkan Sijil yang digunakan untuk membuat tandatangan untuk fail yang anda telah muat turun (whew!), Anda boleh menggunakannya untuk mengesahkan tandatangan.

a) Di Kleopatra pergi ke Fail -> Nyahsulit / Sahkan fail dan semak imbas ke fail tandatangan, atau klik kanan padanya dan pergi ke pilihan MoreGpgEX -> Sahkan.

b) Memastikan 'File Input' adalah fail tandatangan, dan bahawa 'Bidang data yang ditandatangani' mengandungi program atau fail yang ingin anda sahkan, kemudian tekan 'Decrypt / Verify'.

c) Semua yang baik, Kleopatra akan mengisytiharkan tandatangan yang sah.

Bagaimana saya boleh mempercayai Sijil??

Cara paling mudah untuk mengesahkan bahawa Sijil PGP sah adalah untuk memeriksa laman web orang yang sepatutnya telah menandatangani sijil ... dengan sedikit nasib, ia akan menerbitkan cap jari sijil.

Bagaimanapun, walaupun mudah, ini tidak menjamin kesahihan tandatangan, kerana laman web itu mungkin telah digodam atau dipaksa oleh kerajaan untuk memaparkan cap jari palsu (masalah yang sama yang melanda hash kriptografi).

Di sinilah web amanah datang, di mana pengguna menjamin sijil. Dalam praktiknya, ini adalah proses misterius yang terlalu rumit dan terlalu jelas bagi kebanyakan pengguna, jadi yang terbaik yang boleh kita harapkan adalah bahawa sijil itu telah diikuti oleh Pihak Berkuasa Sijil yang diiktiraf, atau ditandatangani oleh pemaju yang diketahui yang menerbitkan kunci tandatangan mereka (seperti yang dilakukan oleh pemaju Tor, misalnya).

Pidgin + OTR dalam beberapa cara adalah contoh buruk tentang bagaimana penandatanganan digital harus berfungsi, kerana laman web OTR itu datang dengan hampir tidak ada instruksi tentang cara menggunakan kekunci yang diterbitkan, dan Sertifikat PGP tidak hanya sukar dicari tetapi selain tersedia dari https://otr.cypherpunks.ca/gpgkey.asc tidak ada cara mudah untuk mengesahkan keasliannya (hakikat yang menggunakan kunci RSA 1024-bit juga menunjukkan kurang baik pada zaman ini apabila NSA mungkin boleh memecahkan enkripsi lemah sedemikian ).

Walau bagaimanapun, ia adalah satu contoh yang baik mengapa keseluruhan tanggapan tandatangan digital adalah sesuatu yang berantakan! Perbincangan menarik tentang bagaimana anda boleh cuba mengesahkan Sijil OTR tersedia di sini.)

Kesimpulannya

Seperti yang anda dapat lihat, mengesahkan tandatangan digital benar-benar adalah rasa sakit, jadi tidak hairanlah walaupun mereka yang memahami proses arogan jargon-berat jarang mengganggu. Isu ini semakin buruk oleh banyak devs yang gagal menjelaskan cara mengesahkan fail mereka, dan / atau mengeluarkan Sertifikat PGP yang ceroboh yang sangat sukar untuk mengesahkan adalah asli (OTR-team, kami melihat anda!)

Hakikat bahawa tandatangan digital kekal sebagai satu-satunya cara yang bermakna untuk menjamin bahawa fail yang anda muat turun adalah yang anda ingin muat turun (atau yang devs mereka bertujuan untuk anda memuat turun), tidak dapat disusun dengan baik untuk keselamatan internet.

Walau bagaimanapun, sehingga seseorang mencipta sistem yang lebih baik dan lebih mesra pengguna, harapan terbaik kami adalah untuk menggalakkan para penunu memberikan arahan jelas tentang bagaimana menggunakan tandatangan digital mereka, dan untuk menerbitkan jaminan yang bermakna tentang keaslian Sertifikat PGP mereka ... (mengeluh)

"Gambarajah tandatangan digital" oleh Acdx - Kerja sendiri. Berlesen di bawah CC BY-SA 3.0 melalui Wikimedia Commons - https://commons.wikimedia.org/wiki/File:Digital_Signature_diagram.svg#mediaviewer/File:Digital_Signature_diagram.svg

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me