Com verificar la signatura PGP del programari descarregat a Linux

Quan instal·leu programari en un sistema Linux sol ser un viatge suau. En la majoria dels casos, utilitzaríeu un gestor de paquets com ara dnf o Pacman per instal·lar-lo de manera segura des dels repositoris de la vostra distribució.

En alguns casos, però, és possible que un paquet de programari no estigui inclòs al repositori oficial de la distribució. En aquests escenaris, un està obligat a descarregar-lo des del lloc web del venedor. Però, com esteu segur que el paquet de programari no va ser manipulat? Aquesta és la pregunta que intentarem respondre. En aquesta guia, ens centrem en com verificar la signatura PGP d'un paquet de programari descarregat a Linux.

PGP (Pretty Good Privacy) és una aplicació criptogràfica utilitzada per xifrar i signar fitxers. La majoria dels autors de programari signen les seves aplicacions utilitzant el programa PGP, per exemple GPG (GNU Privacy Guard).

GPG és una implementació de criptografia d'OpenPGP i permet la transmissió segura de dades i també es pot utilitzar per verificar la integritat de la font. De manera similar, podeu aprofitar GPG per verificar l'autenticitat del programari descarregat.

La verificació de la integritat del programari descarregat és un procediment de 5 passos que segueix l'ordre següent.

  • S'està baixant la clau pública de l'autor del programari.
  • Comprovació de l'empremta digital de la clau.
  • S'està important la clau pública.
  • Descarregant el fitxer de signatura del programari.
  • Verifiqueu el fitxer de signatura.

En aquesta guia, farem servir Tixati, un programa d'intercanvi de fitxers peer-to-peer, com a exemple per demostrar-ho. Ja hem baixat el paquet Debian des de la pàgina de descàrrega oficial.

Verifiqueu la signatura PGP de Tixati

D'entrada, descarregarem la clau pública de l'autor que s'utilitza per verificar qualsevol versió. L'enllaç a la clau es proporciona a la part inferior de la pàgina de descàrregues de Tixati.

A la línia d'ordres, agafeu la clau pública amb l'ordre wget tal com es mostra.

$ wget https://www.tixati.com/tixati.key

Comproveu l'empremta digital de la clau pública

Un cop descarregada la clau, el següent pas és comprovar l'empremta digital de la clau pública mitjançant l'ordre gpg tal com es mostra.

$ gpg --show-keys tixati.key

La sortida destacada és l'empremta digital de la clau pública.

Importa la clau GPG

Un cop hem comprovat l'empremta pública de la clau, importarem la clau GPG. Això només s'ha de fer una vegada.

$ gpg --import tixati.key

Baixeu el fitxer de signatura del programari

A continuació, descarregarem el fitxer de signatura PGP que està just al costat del paquet Debian tal com s'indica. El fitxer de signatura té l'extensió de fitxer .asc.

$ wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

Verifiqueu el fitxer de signatura

Finalment, verifiqueu la integritat del programari utilitzant el fitxer de signatura i amb el paquet Debian, tal com es mostra.

$ gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

La sortida de la tercera línia confirma que la signatura és de l'autor del programari, en aquest cas, Tixati Software Inc. La línia de dalt proporciona l'empremta digital que coincideix amb l'empremta digital de la clau pública. Aquesta és la confirmació de la signatura PGP del programari.

Esperem que aquesta guia proporcioni informació sobre com podeu verificar el PGP d'un paquet de programari descarregat a Linux.