امضا GPG چیست؟ چک کردن Authenticity برنامه لینوکس

امضا gpg

یکی از مهم ترین مشکلات امنیتی برای ما ایرانی که اغلب فایل های برنامه ها و iso را از سایت های متفرقه نا امن دانلود میکنیم غافل از اینکه این فایل ها میتواند تغییر یافته باشد.

از این رو برنامه ها به صورت دیجیتال امضا gpg میشوند که امضا ان در سایت اصلی محصول برای دانلود و مشاهده وجود دارد و شما میتواند هش ان را با فایل دانلودی مقایسه کنید در صورت عدم تطابق متوجه فایل تخریب شده باشید

اینامضا gpg دیجیتال چیست و ارزیابی ان چگونه صورت میگیرد. سیستم عامل لینوکس چطور این صحت فایل را بررسی میکند . در این مقاله قصد پاسخ به این سول را داریم.

لازم به ذکر است برنامه هایی که از طریق ریپازوتری های توزیع های مختلف لینوکس دانلود میشوند مطمین و تایید شده هستنداین بررسی باید در مورد برنامه هایی که از سایت های مختلف دیگر دانلود میشود صورت گیرد

امضا GPG چیست؟ PGP چگونه فایل هارا تایید میکند

رمزنگاری PUBLIC KEY به دو صورت اتفاق می افتد 1- با CERTIFICATE  مثل SSL/TSL و روش دوم 2- مکانیزمی که نیاز به اعتبار سنجی متمرکز ندارد و بر اساس ایجاد روابط مطمئن بین یوزر هاست این روش PGP نام دارد و اگر کاربر لینوکس باشید نسخه کنو آزاد ان GNUPG نام دارد

مهم ترین نکته این نوع ارتباط برقراری این رابطه مطمئن است بدین منظور دو مورد باید اتفاق بیافتد: 1- هیچ کس دیگری به محتوا پیام شما و مقصد دسترسی نداشته باشد(ENCRYPTION) 2- مطمئن شوید کسی که پیام را ارسال کرده شخص مورد نظر باشد (امضا دیجیتال)

رمزگذاری ASSYMETRIC بدین صورت عمل میکند :فرض کنید قفل با دو کلید داریم 1- کلیدی که این قفل را میبندد و قفل میکند (PUBLIC KEY) 2- کلیدی که این قفل را باز میکند (PRIVATE KEY)

کلید پابلیک در دسترس همه قرار دارد و کلید پرایوت مخصوص کسی است که این فایل را امضا کرده و تمامی اطمینان سیستم به این است که این هکر نتواند این کلید را سرقت کند.

از انجایی که  کلید عمومی دردسترس همه قرار دارد هر کسی میتواند پیام انکریپت شده ای با ان برای ما به عنوان دوستمان ارسال کند اینجاست که امضا دیجیتال به کار برده شده من بسته را با استفاده از کلید پرایوتم رمزگذاری میکنم و بعد از دریافت بسته و بازنگاری رمز ان متوجه میشوید که این فرستنده واقعا من بوده ام یا نه