Slik bekrefter du PGP-signaturen til nedlastet programvare på Linux

Når du installerer programvare på et Linux-system er det vanligvis en jevn tur. I de fleste tilfeller vil du bruke en pakkebehandling som apt, dnf eller Pacman for å installere den sikkert fra distribusjonens depoter.

I noen tilfeller kan det imidlertid hende at en programvarepakke ikke er inkludert i distribusjonens offisielle depot. I slike scenarier er man tvunget til å laste den ned fra leverandørens nettside. Men hvor sikker er du på at programvarepakken ikke ble tuklet med? Dette er spørsmålet vi vil prøve å svare på. I denne veiledningen fokuserer vi på hvordan du verifiserer PGP-signaturen til en nedlastet programvarepakke i Linux.

PGP (Pretty Good Privacy) er et kryptografisk program som brukes til å kryptere og signere filer. De fleste programvareforfattere signerer applikasjonene sine ved å bruke PGP-programmet, for eksempel GPG (GNU Privacy Guard).

GPG er en kryptografiimplementering av OpenPGP og den muliggjør sikker overføring av data og kan også brukes til å verifisere integriteten til kilden. På lignende måte kan du bruke GPG for å verifisere ektheten til nedlastet programvare.

Verifiseringen av integriteten til nedlastet programvare er en 5-trinns prosedyre som tar følgende rekkefølge.

  • Laster ned den offentlige nøkkelen til programvarens forfatter.
  • Kontrollerer nøkkelens fingeravtrykk.
  • Importerer den offentlige nøkkelen.
  • Laster ned signaturfilen til programvaren.
  • Bekreft signaturfilen.

I denne veiledningen vil vi bruke Tixati – et peer-to-peer fildelingsprogram – som et eksempel for å demonstrere dette. Vi har allerede lastet ned Debian-pakken fra den offisielle nedlastingssiden.

Bekreft PGP-signaturen til Tixati

Med en gang skal vi laste ned forfatterens offentlige nøkkel som brukes til å verifisere eventuelle utgivelser. Lenken til nøkkelen er gitt nederst på Tixati-nedlastingssiden.

På kommandolinjen tar du tak i den offentlige nøkkelen ved å bruke wget-kommandoen som vist.

wget https://www.tixati.com/tixati.key

Sjekk den offentlige nøkkelens fingeravtrykk

Når nøkkelen er lastet ned, er neste trinn å sjekke den offentlige nøkkelens fingeravtrykk ved å bruke gpg-kommandoen som vist.

gpg --show-keys tixati.key

Den uthevede utgangen er fingeravtrykket til den offentlige nøkkelen.

Importer GPG-nøkkelen

Når vi har sjekket nøkkelens offentlige fingeravtrykk, vil vi importere GPG-nøkkelen. Dette må bare gjøres én gang.

gpg --import tixati.key

Last ned signaturfil for programvaren

Deretter vil vi laste ned PGP-signaturfilen som er like ved siden av Debian-pakken som angitt. Signaturfilen har filtypen .asc.

wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

Bekreft signaturfilen

Til slutt, verifiser integriteten til programvaren ved å bruke signaturfilen og mot Debian-pakken som vist.

gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

Den tredje linjens utgang bekrefter at signaturen er fra programvarens forfatter, i dette tilfellet Tixati Software Inc. Linjen ovenfor gir fingeravtrykket som samsvarer med fingeravtrykket til den offentlige nøkkelen. Dette er en bekreftelse på PGP-signaturen til programvaren.

Vi håper at denne guiden ga innsikt i hvordan du kan gå frem for å verifisere PGP til en nedlastet programvarepakke i Linux.