얼마 전에 우리는 암호화 해시 (예 : MD5 및 SH1 체크섬)와 이들이 다운로드 한 파일이 파일을 만들 수있는 고유 한 '지문'을 만들어서 만든 파일과 동일한 파일인지 확인하는 방법에 대해 논의했습니다. 원본과 비교하여 확인.


거의 모든 파일의 무결성을 확인할 수있는 기능이 중요하지만 인터넷에서 개인 정보 보호 및 보안 소프트웨어를 다운로드 할 때는 반드시 중요합니다. 결국 바이러스를 포함 할 수있는 프로그램에 대한 개인 정보 보호 및 보안을 신뢰하는 요점은 무엇입니까? 특히 그러한 소프트웨어 및 사용자가 NSA 및 INR의 우선 순위가 높은 대상이라고 생각할 때?

공급 업체 또는 개발자 웹 사이트에서 직접 소프트웨어를 다운로드 할 때도 MITM (Man-in-the-Middle) 공격의 대상이되거나 웹 사이트 자체가 다양한 방식으로 손상 될 수 있습니다.

암호화 해시를 사용하는 것이이 문제를 해결하려는 시도이지만 안타깝게도이 기술에는 큰 약점이 있습니다. 예를 들어, 개발자 웹 사이트가 해킹되어 원본이 아닌 손상된 파일의 해시를 표시하거나 수학적인 취약점으로 인해 보안이 취약해질 수 있습니다. 따라서 해시는 파일이 손상되지 않았는지 확인하는 데 유용하지만 다운로드 한 파일이 개발자가 다운로드하려는 파일과 동일한 파일인지 확인하는 데 제한적으로 사용됩니다..

이를보다 확실하게 보장하기 위해 개발자는 파일을 디지털 서명으로 서명 할 수 있습니다. 디지털 서명은 비대칭 암호화 형식 (공개 키 및 개인 키)을 사용하여 파일이 정확히 요구되는 파일인지 확인합니다.

디지털 서명을 적용한 후 확인하는 방법을 보여주는 다이어그램.

PGP 디지털 서명

다른 암호화 시스템은 서로 다른 메커니즘을 사용하여 디지털 서명을 생성하고 확인합니다. 예를 들어 Windows는 소프트웨어가 처음 설치 될 때 Microsoft PKI (공개 키 인프라) 기술을 사용하여 서명의 유효성을 자동으로 검사합니다..

오픈 소스 소프트웨어는 적절한 Microsoft PKI를 사용할 수 없으므로 대신 PGP 디지털 서명을 사용합니다. 그런 다음 수동으로 인증해야합니다. 이는 PGP 이메일을 인증하는 데 사용되는 키 페어와 매우 유사하며 PGP 디지털 서명을 확인하려면 PGP 호환 메일 프로그램을 사용해야합니다..

불행히도 이것은 PGP를 사용하여 이메일을 보호하는 것과 같이 PGP 디지털 서명을 사용하는 것은 지나치게 복잡하다는 것을 의미합니다.

Kleopatra GUI를 사용하여 디지털 서명을 확인하는 방법

파일의 PGP 디지털 서명을 확인하려면 PGP 클라이언트 (또는보다 정확한 GnuPG-오픈 소스 클론)를 사용해야합니다. GnuPG 버전은 Windows (Gpg4win), Mac OSX 및 Linux (일반적으로 사전 설치됨)에서 사용할 수 있습니다.

이 튜토리얼에서는 Gpg4win을 사용하여 Pidgin + OTR의 디지털 서명을 확인하지만 다른 버전의 GnuPG와 프로세스는 매우 유사합니다..

우리는 Gpg4win 사용에 대한 두 부분으로 된 기사를 가지고 있으며 아래에서 사용할 주요 개념에 익숙해 지려면 적어도 1 부를 읽는 것이 좋습니다..

Gpg4win 다운로드는 자체 인증 된 인증 기관 (CA)에 의해 검증 된 키로 디지털 서명되어 있으며 신뢰할 수있는 이전 GnuPG 사본을 사용하여 독립적으로 검증을 확인할 수 있습니다 (SHA1 해시도 사용 가능). 확인하지 않은 Gpg4win 사본을 절대 신뢰해서는 안됩니다..

GnuPG가 설치되면 디지털 서명을 확인하기 위해 세 가지가 필요합니다.

  • 확인하려는 파일 (예 : Duh!) pidgin-otr-4.0.1.exe 설치 관리자
  • PGP / GPG 서명 파일 (.asc) pidgin-otr-4.0.1.exe.asc
  • 이 서명을 만드는 데 사용되는 공개 키 / PGP 인증서 (예 : gpgkey.asc

이러한 파일은 모두 디지털 서명 된 파일을 확인하려는 개발자가 제공해야합니다. 공개 키 / PGP 인증서는 종종 키 서버에 저장되지만 개발자는 액세스에 대한 지침을 제공해야합니다..

클레오 파트라

Kleopatra는 Gpg4win과 함께 제공되는 주요 관리 프로그램입니다.

1. PGP 인증서를 인증하려면 개인 개인 키가 필요합니다. 예를 들어 GPA를 사용하여 이전에 생성 한 경우 가져올 수 있습니다 (파일 -> 인증서 가져 오기…) 또는 새 키 페어 (파일 -> 새로운 증명서…).

마법사는이 과정의 나머지 과정을 안내합니다

2. '인증서 가져 오기'를 사용하거나 파일을 마우스 오른쪽 버튼으로 클릭하고 '키 가져 오기'를 선택하여 공개 키 / PGP 인증서를 Kleopatra로 가져옵니다..

3. 개인 키를 사용하여 PGP 인증서 인증-인증서에 서명 한 사람을 신뢰한다고 GnuPG에 알려줍니다..

a) Kleopatra에서 키를 마우스 오른쪽 버튼으로 클릭하고 '인증서 인증'을 선택하십시오..

b) 인증서를 선택하고 지문을 확인했는지 확인합니다 (개발자의 웹 사이트에 게시 됨)..

c) 인증서의 진위에 대해 확신이없는 경우 본인 만 인증해야합니다 (인증서는 신뢰의 웹 원칙에 대한 작업-인증서를 신뢰하는 사람이 많을수록 자신이 진실 할 수 있음).

d) 개인 키 암호를 입력하여 인증서 확인을 마칩니다..

4. 다운로드 한 파일의 서명을 만드는 데 사용 된 인증서를 인증 했으므로 (whw!) 서명을 확인하는 데 사용할 수 있습니다..

a) 클레오 파트라에서 파일로 이동 -> 파일을 해독 / 확인하고 서명 파일을 찾거나 마우스 오른쪽 단추로 클릭하고 MoreGpgEX 옵션으로 이동하십시오. -> 확인.

b)‘입력 파일’이 서명 파일이고‘서명 된 데이터’필드에 확인하려는 프로그램이나 파일이 포함되어 있는지 확인한 다음‘암호 해독 / 확인’을 누르십시오..

c) Kleopatra는 서명이 유효하다고 선언합니다..

인증서를 신뢰하는 방법?

PGP 인증서가 유효한지 확인하는 가장 간단한 방법은 인증서에 서명 한 사람의 웹 사이트를 확인하는 것입니다. 약간의 운이 있으면 인증서의 지문이 게시됩니다..

그러나 쉬운 일이지만 정부가 웹 사이트를 해킹했거나 강제로 가짜 지문 (암호 해시를 괴롭히는 것과 같은 문제)을 표시해야하므로 서명의 진위를 보장하지는 않습니다..

이곳은 사용자가 인증서를 보증하는 신뢰의 웹이 들어오는 곳입니다. 실제로 이것은 대부분의 사용자에게 너무 복잡하고 모호한 비밀스러운 프로세스이므로, 대부분의 사람들이 인정할 수있는 가장 좋은 방법은 공인 인증 기관이 인증서를 보증했거나 알려진 개발자가 서명 한 것입니다. Tor 개발자와 같이 서명 키를 게시하는 사람.

Pidgin + OTR은 어떤 방식 으로든 디지털 서명의 작동 방식에 대한 나쁜 예입니다. OTR 웹 페이지에는 게시 된 키를 사용하는 방법에 대한 지침이 거의 없으며 PGP 인증서는 찾기가 매우 어려울뿐만 아니라 사용 가능하지 않기 때문입니다. https://otr.cypherpunks.ca/gpgkey.asc에서 신뢰성을 확인하는 쉬운 방법은 없습니다 (1024-bit RSA 키를 사용한다는 사실은 NSA가 약한 암호화를 해독 할 수있을 때이 시대에는 좋지 않습니다. ).

그러나 디지털 서명의 전체 개념이 왜 그렇게 엉망인 지에 대한 좋은 예입니다! OTR 인증서를 확인하는 방법에 대한 흥미로운 토론은 여기에서 확인할 수 있습니다.)

결론

보시다시피, 디지털 서명을 확인하는 것은 실제로 고통스럽기 때문에 전문 용어가 많은 비전 프로세스를 이해하는 사람들조차도 거의 신경 쓰지 않을 것입니다. 이 문제는 파일을 확인하는 방법을 설명하지 못하거나 검증하기 어려운 부실한 PGP 인증서를 발급하는 많은 개발자가 더 심각합니다 (OTR 팀, 우리는 당신을보고 있습니다!)

디지털 서명이 다운로드 한 파일이 다운로드하려는 파일임을 보증하는 유일한 의미있는 방법으로 남아 있다는 사실은 인터넷 보안에 적합하지 않습니다..

그러나 누군가가 더 나은 사용자 친화적 인 시스템을 개발할 때까지 개발자가 디지털 서명을 사용하는 방법에 대한 명확한 지침을 제공하고 PGP 인증서의 신뢰성에 대한 의미있는 보증을 게시하도록 권장하는 것이 가장 좋습니다.

"디지털 서명 다이어그램" 에 의해 Acdx-자신의 작품. CC BY-SA 3.0에 따라 Wikimedia Commons를 통해 라이센스가 부여됨-https://commons.wikimedia.org/wiki/File:Digital_Signature_diagram.svg#mediaviewer/File:Digital_Signature_diagram.svg

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me