לפני זמן מה דנו בחיפזון קריפטוגרפי (כמו בדיקות MD5 ו- SH1), וכיצד הם עוזרים להבטיח שקובץ שאתה מוריד הוא אותו קובץ שיוצרו התכוון להוריד לך על ידי יצירת 'טביעת אצבע' ייחודית של הקובץ שיכול להיות בדק כנגד המקור.


היכולת לאמת את שלמותם של כמעט כל קובץ היא חשובה, אך כאשר אנו מורידים תוכנת פרטיות ואבטחה מהאינטרנט, זה קריטי לחלוטין. אחרי הכל, מה הטעם לסמוך על פרטיותך וביטחונך לתוכנית שעשויה להכיל וירוס, במיוחד כשאתה מחשיב שתוכנה כזו ומשתמשיה הם ללא ספק יעדי עדיפות גבוהה עבור ה- NSA ודומיו.?

אפילו כשאתה מוריד תוכנה ישירות מאתר של ספק או מפתחים, אתה עלול ליפול קורבן למתקפת Man-in-the-Middle (MitM), או שהאתר עצמו עלול להיפגע בדרכים שונות.

השימוש בחפזות קריפטוגרפיות הוא ניסיון לפתור בעיה זו, אך לרוע המזל לטכניקה יש חולשה משמעותית - לדוגמה, אתר האינטרנט של מפתח עשוי להיפרץ כדי להציג את ה- hash של קובץ שנמצא בסכנה במקום שהפגיעויות המקוריות, או שהפגיעויות המתמטיות יכולות להפוך אותם לא בטוחים. לפיכך, Hashes מועילים לאמת שקובץ לא נפגם, אך הוא מוגבל לשימוש רק כדי להבטיח כי הקובץ שאתה מוריד הוא אותו קובץ שמפתחו מתכוונים להוריד אותו..

בכדי לספק הבטחות גדולות יותר לכך, מפתחים יכולים לחתום על הקבצים שלהם עם חתימות דיגיטליות, אשר משתמשים בסוג של קריפטוגרפיה אסימטרית (מפתחות ציבוריים ומפתחות פרטיים) כדי לוודא שקובץ הוא בדיוק מה שהוא טוען שהוא.

תרשים שמראה כיצד מיושמת חתימה דיגיטלית ואימות אותה.

חתימות דיגיטליות PGP

מערכות קריפטוגרפיות שונות משתמשות במנגנונים שונים כדי ליצור ולאמת חתימות דיגיטליות. Windows, למשל, משתמשת בטכנולוגיית תשתית המפתח הציבורי של מיקרוסופט (PKI) כדי לאמת חתימות באופן אוטומטי בעת התקנת התוכנה לראשונה..

תוכנת קוד פתוח לא יכולה להשתמש ב- Microsoft PKI התקין, ולכן משתמשת בחתימות דיגיטליות של PGP. אשר לאחר מכן יש לאמת ידנית. אלה פועלים מאוד כמו זוגות המפתח המשמשים לאימות דוא"ל PGP, וכפי שנראה, אימות חתימות דיגיטליות של PGP דורש שימוש בתוכנת דואר תואמת PGP..

לרוע המזל, משמעות הדבר היא שכמו השימוש PGP לאבטחת דוא"ל, השימוש בחתימות דיגיטליות PGP הוא מורכב מדי.

כיצד לאמת חתימה דיגיטלית באמצעות ממשק המשתמש של Kleopatra

כדי לאמת את חתימת הדיגיטל PGP של קובץ, עליך להשתמש בלקוח PGP (או ליתר דיוק GnuPG - השיבוט בקוד הפתוח שלו). גרסאות GnuPG זמינות עבור Windows (Gpg4win), Mac OSX ו- Linux (בדרך כלל מותקנות מראש).

במדריך זה נוודא את החתימה הדיגיטלית של Pidgin + OTR באמצעות Gpg4win, אך התהליך דומה מאוד לגירסאות אחרות של GnuPG.

יש לנו מאמר של שני חלקים על השימוש ב- Gpg4win, ואנו ממליצים בחום לקרוא לפחות חלק 1 ממנו בכדי להכיר את מושגי המפתח שישמשו בהמשך..

ההורדה של Gpg4win נחתמת בעצמה דיגיטלית עם מפתח שאומת על ידי רשות אישורים מוכרת (CA) ואשר ניתן לבדוק באופן עצמאי לאימות באמצעות עותק ישן מהימן של GnuPG (יש גם Hash של SHA1). אסור לסמוך על עותק של Gpg4win שלא אימתת.

לאחר התקנת GnuPG, אנו זקוקים לשלושה דברים כדי לאמת חתימה דיגיטלית:

  • הקובץ שאנחנו רוצים לאמת (דה!) למשל. מתקין pidgin-otr-4.0.1.exe
  • קובץ החתימה PGP / GPG (.asc), למשל pidgin-otr-4.0.1.exe.asc
  • המפתח הציבורי / תעודת PGP המשמשים ליצירת חתימה זו, למשל gpgkey.asc

קבצים אלה צריכים להיות כל (יש לקוות) לספק על ידי היזם שאת קבציו החתומים דיגיטלית ברצונך לאמת. אישורי מפתח ציבורי / PGP מאוחסנים לרוב בשרת מפתחות, אך על ה- devs לספק הוראות לגישה אליהם.

קלופטרה

Kleopatra היא תוכנית לניהול מפתח המצורפת עם Gpg4win.

1. תזדקק למפתח פרטי אישי כדי לאשר את אישור ה- PGP. אם יצרת קודמת (למשל באמצעות GPA), תוכל לייבא אותה (קובץ -> ייבא אישורים ...), או שתוכל ליצור זוג מפתחות חדש (קובץ -> תעודה חדשה ...).

אשפים ינחו אתכם בשאר התהליך

2. ייבא את המפתח הציבורי / אישור PGP אל Kleopatra - באמצעות 'ייבא תעודות', או לחץ באמצעות לחצן העכבר הימני על הקובץ ובחר 'ייבא מפתחות'..

3. אשר את תעודת PGP באמצעות המפתח הפרטי שלך - זה אומר ל- GnuPG שאתה סומך על האדם שחתם על האישור.

א) ב- Kleopatra לחץ באמצעות לחצן העכבר הימני על המקש ובחר 'אישור אישור'.

ב) בחר את האישור ואשר שאימת את טביעת האצבע שלו (אני מקווה שזו תפורסם באתר האינטרנט של היזם).

ג) אלא אם כן אתה בטוח מאוד לגבי האותנטיות של התעודה, עליך לאשר רק לעצמך (תעודות עובדות על העיקרון של רשת אמון - ככל שאנשים יותר סומכים עליהם, אתה יכול להיות בטוח שהם אמיתיים).

ד) הזן את ביטוי הסיסמה של המפתח הפרטי שלך לסיום אימות האישור.

4. כעת, לאחר שאישרת את האישור ששימש לביצוע החתימה על הקובץ שהורדת (whew!), אתה יכול להשתמש בו כדי לאמת את החתימה.

א) ב- Kleopatra עבור אל File -> לפענח / לאמת קבצים ולעיין לקובץ החתימה, או לחץ עליו באמצעות לחצן העכבר הימני ועבור לאפשרויות MoreGpgEX -> תאשר.

ב) ודא ש'קובץ קלט 'הוא קובץ החתימה, וששדה' נתונים חתומים 'מכיל את התוכנית או הקובץ שברצונך לאמת, ואז לחץ על' פענח / אמת '.

ג) ככל שיהיה במצב של בריאות, Kleopatra תכריז על החתימה כחוק.

איך אני יכול לסמוך על תעודה?

הדרך הפשוטה ביותר לאמת שתעודת PGP תקפה היא לבדוק את האתר של האדם שאמור היה לחתום על התעודה ... במעט מזל, זה יפרסם את טביעת האצבע של התעודה.

עם זאת, אם כי קל, הדבר אינו מבטיח את אמיתות החתימה, שכן יתכן והאתר נפרץ או נאלץ על ידי הממשלה להציג טביעת אצבע מזויפת (אותה בעיה שמטרידה חיפזות קריפטוגרפיות).

כאן נכנס רשת האמון, שם המשתמשים מתחייבים לקבל אישור. בפועל, מדובר בתהליך ארצי שהוא מורכב מדי וגם מעורפל מדי עבור מרבית המשתמשים, כך שהטוב ביותר שרובנו יכולים לקוות לו הוא שהאישור קיבל אישור על ידי רשות אישורים מוכרת, או שהוא חתום על ידי מפתחים ידועים. המפרסמים את מפתחות החתימה שלהם (כמו שעושים למשל מפתחי Tor).

Pidgin + OTR הוא במובנים מסוימים דוגמה רעה לאופן שבו חתימה דיגיטלית אמורה לעבוד, מכיוון שדף האינטרנט של OTR כמעט ולא כולל הוראות לשימוש במפתחות שפורסמו, ותעודת PGP שלה לא הייתה קשה רק לאיתור אלא מלבד היותה זמינה מ https://otr.cypherpunks.ca/gpgkey.asc אין דרך קלה לאמת את האותנטיות שלו (העובדה שמשתמשת במפתח RSA של 1024 סיביות היא גם הצגה גרועה בעידן זה כאשר ה- NSA יכול כנראה לפצח הצפנה כה חלשה ).

עם זאת זו דוגמה טובה לכך שכל הרעיון של חתימות דיגיטליות הוא כזה בלגן! כאן ניתן למצוא דיון מעניין כיצד לנסות לאמת את תעודת ה- OTR.)

סיכום

כפי שאתה יכול לראות, אימות חתימה דיגיטלית הוא באמת כאב, לכן אין זה פלא שאפילו מי שמבין את התהליך הארכי-כבד הז'רגוני כמעט ולא טורח. הנושא מחמיר עוד יותר על ידי מח"בים רבים שלא מצליחים להסביר כיצד לאמת את הקבצים שלהם, ו / או להוציא תעודות PGP מרושלות שקשה מאוד לאמת הן אמיתיות (צוות OTR, אנו מסתכלים עליך!)

העובדה שהחתימות דיגיטליות נשארות הדרך המשמעותית היחידה להבטיח שקבצים שאתה מוריד הם אלה שהתכוונת להוריד (או שהמחשבים שלהם התכוונו להוריד), אינה מבשרת טובות לאבטחת האינטרנט..

עם זאת, עד שמישהו ימציא מערכת טובה יותר וידידותית למשתמש יותר, התקווה הטובה ביותר שלנו היא לעודד מתנדבים לספק הוראות ברורות כיצד להשתמש בחתימות הדיגיטליות שלהם, ולפרסם ערבויות משמעותיות לגבי האותנטיות של תעודות PGP שלהם ... (אנחה)

"תרשים חתימה דיגיטלית" מאת Acdx - עבודה משלו. מורשה תחת CC BY-SA 3.0 באמצעות Wikimedia Commons - https://commons.wikimedia.org/wiki/File:Digital_Signature_diagram.svg#mediaviewer/File:Digital_Signature_diagram.svg

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me