Прије неког времена разговарали смо о криптографским хешевима (као што су контролни збројеви МД5 и СХ1) и како они помажу да датотека коју преузмете буде иста датотека коју је њен творац намјеравао да преузме стварајући јединствени 'отисак прста' датотеке која може бити у поређењу са оригиналом.


Способност провере интегритета готово сваке датотеке је важна, али када преузмемо софтвер за приватност и безбедност са интернета, то је апсолутно критично. На крају крајева, шта је смисао повјерења своје приватности и сигурности програму који може садржавати вирус, посебно ако узмете у обзир да су такав софтвер и његови корисници без сумње високо приоритетни циљеви за НСА и његове сличне?

Чак и када преузмете софтвер директно са веб локације продавца или програмера, можете постати жртва напада „Ман-ин-тхе-Миддле“ (МитМ) или би веб локација могла бити угрожена на различите начине.

Коришћење криптографских хешева је покушај да се реши овај проблем, али на жалост техника има велику слабост - на пример, веб локација програмера може бити хакована да прикаже хасх компромитоване датотеке, а не оригинални или их математичке рањивости могу учинити несигурним. Снимке су стога корисне у верификацији да датотека није оштећена, али имају малу употребу у осигуравању да је датотека коју преузмете иста датотека коју њени програмери намеравају да преузму.

Да би пружили већа уверења у то, програмери могу да потпишу своје датотеке дигиталним потписима, који користе облик асиметричне криптографије (јавни кључеви и приватни кључеви) да провере да ли је датотека управо онаква за коју тврди да је.

Дијаграм који приказује како се дигитални потпис примењује и затим верификује.

ПГП дигитални потписи

Различити криптографски системи користе различите механизме за креирање и провјеру дигиталног потписа. Виндовс, на пример, користи Мицрософтову инфраструктуру јавних кључева (ПКИ) да би аутоматски потврдио потписе приликом инсталирања софтвера.

Софтвер отвореног кода не може користити одговарајући Мицрософт ПКИ, па уместо тога користи ПГП дигиталне потписе. Који тада морају бити ручно оверени. Они дјелују слично као кључни парови који се користе за провјеру ПГП е-поште, а као што ћемо видјети, провјера ПГП-а дигиталних потписа захтијева кориштење ПГП-компатибилног програма поште.

Нажалост, то такође значи да је, попут употребе ПГП-а за заштиту е-маилова, коришћење ПГП дигиталног потписа претјерано сложено.

Како проверити дигитални потпис користећи Клеопатра ГУИ

Да бисте проверили ПГП дигитални потпис датотеке, морате да користите ПГП клијент (или тачније ГнуПГ - његов опен-соурце клон). Верзије ГнуПГ-а доступне су за Виндовс (Гпг4вин), Мац ОСКС и Линук (обично су унапред инсталиране).

У овом туториалу ћемо верификовати дигитални потпис Пидгин + ОТР помоћу Гпг4вин, али поступак је врло сличан за остале верзије ГнуПГ.

Имамо дводијелни чланак о кориштењу Гпг4вин и топло препоручујемо да прочитате барем први део њега како бисте се упознали са кључним концептима који ће се користити у наставку.

Преузимање Гпг4вин је дигитално потписано кључем који је верификовао признати ауторитет за сертификате (ЦА) и који се може независно проверити за верификацију помоћу поуздане старије копије ГнуПГ (доступан је и СХА1 хасх). Никада не треба да верујете копији Гпг4вин коју нисте верификовали.

Једном када је ГнуПГ инсталиран, потребне су нам три ствари за верификацију дигиталног потписа:

  • Датотека коју желимо да потврдимо (дух!) Нпр. инсталациони програм пидгин-отр-4.0.1.еке
  • ПГП / ГПГ датотека потписа (.асц), нпр. пидгин-отр-4.0.1.еке.асц
  • Јавни кључ / ПГП цертификат коришћен за креирање овог потписа, нпр. гпгкеи.асц

Све ове датотеке (надамо се) треба да обезбеди програмер чије дигитално потписане датотеке желите да верификујете. Јавни кључ / ПГП сертификати често се чувају на серверу тастера, али врагови би требало да дају упутства за приступ њима.

Клеопатра

Клеопатра је кључни програм управљања у пакету са Гпг4вин.

1. Требат ће вам лични приватни кључ за потврду ПГП цертификата. Ако сте је претходно креирали (на пример, користећи ГПА), можете је увести (Датотека) -> Увези цертификате ...) или можете креирати нови пар кључева (Датотека) -> Нови сертификат ...).

Чаробњаци ће вас водити кроз остатак овог процеса

2. Увезите јавни кључ / ПГП сертификат у Клеопатру - користећи „Увери потврде“ или десним кликом на датотеку и одабиром „Увери кључеве“.

3. Овјерите ПГП цертификат користећи свој приватни кључ - то говори ГнуПГ-у да вјерујете особи која је потписала цертификат.

а) У Клеопатри кликните десним тастером миша на тастер и изаберите 'Цертифи Цертифицате'.

б) Изаберите сертификат и потврдите да сте верификовали његов отисак прста (надамо се да ће ово бити објављено на веб локацији програмера).

ц) Ако нисте сигурни у аутентичност сертификата, онда бисте требали да сертификујете само за себе (сертификати раде на принципу мреже поверења - што више људи који им верују, сигурнији сте да су они оригинални).

д) Унесите лозинку вашег приватног кључа да бисте довршили верификацију сертификата.

4. Сада када сте овјерили Сертификат којим се користи потпис за датотеку коју сте преузели (шта!), Можете да је користите за верификацију потписа.

а) У Клеопатри идите на Филе -> Дешифрирајте / потврдите датотеке и идите до датотеке са потписом или кликните десним тастером миша на њу и идите на опције МореГпгЕКС -> Проверити.

б) Уверите се да је „Улазна датотека“ датотека са потписима и да поље „Потписани подаци“ садржи програм или датотеку коју желите да проверите, а затим притисните „Дешифрирај / потврди“.

ц) Ако је добро, Клеопатра ће прогласити потпис важећим.

Како могу да верујем сертификату?

Најједноставнији начин да се провери да ли је ПГП сертификат валидан јесте да проверите веб локацију особе која би требало да има потписан сертификат ... са мало среће објавиће отисак прста сертификата..

Међутим, иако лако, то не гарантује аутентичност потписа, јер је веб локацију можда хаковала или присиљавала влада да прикаже лажни отисак прста (исти проблем који мучи криптографске хешеве).

Овде долази мрежа поверења, где корисници добијају потврду. У пракси је то скривен процес који је и превише сложен и превише нејасан за већину корисника, тако да је најбоље чему се већина од нас може надати да је сертификат потврдио признати ауторитет за сертификате или га потписују познати програмери. који објављују своје кључеве за потписивање (као што то раде на пример програмери Тор-а).

Пидгин + ОТР је на неки начин лош пример како дигитално потписивање треба да функционише, јер на ОТР веб страници нема готово никаквих упутстава о коришћењу објављених кључева, а њену ПГП потврду не само да је било врло тешко пронаћи, већ осим што је доступна са хттпс://отр.ципхерпункс.ца/гпгкеи.асц не постоји једноставан начин да се потврди његова аутентичност (чињеница да се користи 1024-битни РСА кључ такође је лоше показало у овом добу када НСА вероватно може покварити тако слабу енкрипцију ).

То је, међутим, добар пример зашто је читав појам дигиталног потписа такав неред! Занимљива дискусија о томе како можете покушати да потврдите ОТР потврду је доступна овде.)

Закључак

Као што видите, верификација дигиталног потписа заиста представља бол, па је мало чудо да се и они који разумију жаргонски тежак процес ретко муче. Питање је још горе ако многи врагови не објасне како да провере своје датотеке и / или издају неуредне ПГП сертификате за које је тешко потврдити да су оригинални (ОТР тим, гледамо вас!)

Чињеница да дигитални потписи остају једини смислени начин да се гарантује да су датотеке које преузмете оне које сте намеравали да преузмете (или да су њихови врагови намеравали да их преузмете) не представља добро за интернет безбедност.

Међутим, док неко не измисли бољи, прилагођенији систем, наша најбоља нада је да охрабримо дев-ове да дају јасна упутства о коришћењу свог дигиталног потписа и да објаве значајне гаранције у погледу веродостојности својих ПГП сертификата ... (уздах)

"Дијаграм дигиталног потписа" од Ацдк - сопствени рад. Лиценцирано под ЦЦ БИ-СА 3.0 путем Викимедиа Цоммонс - хттпс://цоммонс.викимедиа.орг/вики/Филе:Дигитал_Сигнатуре_диаграм.свг#медиавиевер/Филе:Дигитал_Сигнатуре_диаграм.свг

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me