Ang PGP ay hindi lamang ginagamit upang ma-secure ang impormasyon mula sa mga banta sa cyber ngunit upang suriin din ang integridad ng file.
Madaling ipinapaliwanag ng tutorial na ito kung paano gumagana ang PGP at kung paano i-verify ang mga lagda ng PGP .
Paano Gumagana ang PGP
Ang imahe sa ibaba ay naglalarawan ng isang pampublikong key ng PGP. Ang pampublikong key ng PGP na ito ay maaaring ma-decrypted lamang sa isang tukoy na pribadong key ng PGP. Ang nagbigay ng pampublikong susi sa ibaba ay naglabas din ng isang pribadong key ng PGP dahil nabuo ang mga ito sa parehong proseso. Ibinabahagi lamang niya ang susi ng publiko.
Kung kukunin mo ang kanyang pampublikong key upang i-encrypt ang isang mensahe sa kanya, magagawa niyang i-decrypt ang mensahe gamit ang kanyang pribadong key. Ang kanyang pribadong key lamang ang maaaring makapag-decrypt ng mensahe na na-encrypt mo gamit ang kanyang pampublikong key.
Ang impormasyon ay naka-encrypt gamit ang pampublikong key, at na-decrypt gamit ang pribadong key. Tinawag ito asymmetric na pag-encrypt .
Kaya't kahit na ang isang umaatake ay nagawang i-intercept ang mensahe nang walang pribadong key, hindi niya makita ang nilalaman ng mensahe.
Ang bentahe ng asymmetric na pag-encrypt ay ang pagiging simple upang makipagpalitan ng mga susi. Ngunit ang kawalan nito ay hindi nito mai-encrypt ang maraming data, at iyon ang dahilan kung bakit ipinatutupad ng PGP ang pareho sa kanila.
Ang symmetric na pag-encrypt ay inilapat kapag ginamit ang pampublikong key upang i-encrypt ang protektadong data. Gamit ang pampublikong key, ang nagpadala ay gumagawa ng dalawang bagay: unang bumubuo ng simetriko na pag-encrypt upang maprotektahan ang data, at pagkatapos ay inilalapat nito ang asymmetric na pag-encrypt, na hindi naka-encrypt ang data mismo, ngunit ang simetrikong susi, na pinoprotektahan ang data.
Upang maging mas panteknikal, bago mailapat ang simetriko key, ang data ay naka-compress din bago ma-encrypt ng simetriko key at pampublikong key. Ipinapakita ng sumusunod na daloy ng tsart ang buong proseso:
Mga Lagda ng PGP
Ginagamit din ang PGP upang suriin ang integridad ng mga package. Nakamit ito sa pamamagitan ng digital signature, na maaaring gawin sa PGP.
Una, bumubuo ang PGP ng isang hash na naka-encrypt ng pribadong key. Ang parehong pribadong key at hash ay maaaring ma-decrypt gamit ang pampublikong key.
Lumilikha ang PGP ng isang digital na lagda, halimbawa, para sa isang ISO imahe gamit ang DSA o RSA algorithm. Sa kasong ito, ang pribadong key ay nakakabit sa software o ISO Image, salungat sa pagpapatakbo na inilarawan dati. Ibinahagi din ang susi ng publiko.
Ginagamit ng mga gumagamit ang pampublikong key upang mapatunayan ang lagda na nakakabit sa inilabas na software.
Ipinapakita ng sumusunod na daloy ng tsart kung paano naka-attach ang pribadong key at hash sa software at kung paano kinukuha ng gumagamit ang software na may kalakip na hash at pribadong key kasama ang pampublikong key upang mapatunayan ang lagda:
Paano Ko Mapapatunayan ang isang Lagda ng PGP?
Ipinapakita ng unang halimbawa kung paano i-verify ang lagda ng kernel ng Linux. Upang subukan ito, i-access https://kernel.org at mag-download ng isang bersyon ng kernel at ang file na PGP. Para sa halimbawang ito, magda-download ako ng mga file linux-5.12.7.tar.xz at linux-5.12.7.tar.sign .
Ipinapakita ng unang halimbawa kung paano i-verify ang lagda gamit ang isang solong utos. Ayon sa pahina ng tao, ang kombinasyon ng opsyong ito ay maaalis sa mga hinaharap na bersyon. Gayunpaman, malawak pa rin itong ginagamit, at habang ang tukoy na kombinasyon ay aalisin, ang mga pagpipilian ay mananatili.
Ang unang pagpipilian –Keyserver-options pinapayagan ang pagtukoy ng mga pagpipilian para sa keyserver kung saan nakaimbak ang mga pampublikong key. Talaga, pinapayagan nito ang pagpapatupad ng mga pagpipilian sa pagkuha ng mga key ng publiko.
Ang –Keyserver-options ay pinagsama sa –Auto-key-retrieve pagpipilian upang awtomatikong kunin ang mga pampublikong key mula sa isang keyserver kapag napatunayan ang mga lagda.
Upang hanapin ang mga pampublikong key, babasahin ng utos na ito ang lagda na naghahanap ng isang tinukoy na ginustong keyserver o signer's ID sa pamamagitan ng isang proseso ng paghahanap gamit ang Web Key Directory.
gpg--keyserver-optionsauto-key-retrieve- patunayanlinux-5.12.7.tar.sign 
Tulad ng nakikita mo, maganda ang lagda, ngunit may isang babalang mensahe na sinasabing hindi makumpirma ng gpg na ang may-ari ay pagmamay-ari ng may-ari. Kahit sino ay maaaring maglabas ng isang pampublikong pirma bilang Greg Krohan-Hartman. Alam mong lehitimo ang lagda sapagkat pinagkakatiwalaan mo ang server na na-download mo ito. Sa kasong ito, tinukoy ito sa .sign na nai-download mula sa kernel.org.
Palaging naroroon ang babalang ito, at maiiwasan mo ito sa pamamagitan ng pagdaragdag ng mga lagda sa isang listahan ng pinagkakatiwalaang lagda gamit ang pagpipilian –Edit-key na pagtitiwala . Ang totoo ay hindi gumagamit ang gumagawa nito, at hiniling ng komunidad ng Gpg na alisin ang babala.
Pinapatunayan ang SHA256SUMS.gpg
Sa sumusunod na halimbawa, papatunayan ko ang integridad ng isang lumang imahe ng Kali Linux na nakita ko sa aking kahon. Para sa hangaring ito, na-download ko ang mga SHA256SUMS.gpg at SHA256SUMS file na kabilang sa parehong imaheng iso.
Kapag na-download mo ang isang iso na imahe, ang SHA256SUMS.gpg, at SHA256SUMS, kailangan mong makuha ang mga pampublikong key. Sa sumusunod na halimbawa, kinukuha ko ang mga key gamit wget at gpg –import (Ang mga tagubilin sa pag-verify ng Kali ay naka-link sa key server na ito).
Pagkatapos ay napatunayan ko ang integridad ng file sa pamamagitan ng pagtawag sa gpg kasama ang –Pagpatunayan argumento:
wget -q -O- https://archive.kali.org/archive-key.asc|gpg--angkatgpg- patunayanSHA256SUMS.gpg SHA256SUMS
Tulad ng nakikita mo, maganda ang lagda, at matagumpay ang pag-verify.
Ipinapakita ng sumusunod na halimbawa kung paano i-verify ang isang pag-download ng NodeJS. Ang unang utos ay nagbabalik ng isang error dahil walang pampublikong key. Ipinapahiwatig ng error na kailangan kong maghanap para sa key 74F12602B6F1C4E913FAA37AD3A89613643B6201. Karaniwan, maaari mo ring makita ang key ID sa mga tagubilin.
Sa pamamagitan ng paggamit ng pagpipilian –Keyserver , Maaari kong tukuyin ang server upang maghanap para sa susi. Sa pamamagitan ng paggamit ng pagpipilian –Recv-keys , Kinukuha ko ang mga susi. Pagkatapos ay gagana ang pag-verify:
gpg- patunayanSHASUMS256.txt.ascKinopya ko ang susi na kailangan ko upang makuha, at pagkatapos ay tatakbo ako:
gpg--keyserverpool.sks-keyservers.net--recv-keys74F12602B6F1C4E913FAA37AD3A89613643B6201
gpg- patunayanSHASUMS256.txt.asc
Naghahanap ng mga Key ng gpg:
Kung hindi gagana ang mga auto key sa pagkuha at hindi mo makita ang mga tagubiling partikular sa pag-verify, maaari kang maghanap sa key sa isang keyserver gamit ang pagpipilian –Search-key .
gpg--search-key74F12602B6F1C4E913FAA37AD3A89613643B6201 
Tulad ng nakikita mo, natagpuan ang susi. Maaari mo ring makuha ito sa pamamagitan ng pagpindot sa bilang ng key na gusto mong kunin.
Konklusyon
Maaaring mapigilan ng pagpapatunay ang integridad ng mga pag-download na malubhang problema o maipaliwanag ang mga ito, halimbawa, kapag hindi gumagana nang tama ang na-download na software. Ang proseso sa gpg ay medyo madali, tulad ng ipinakita sa itaas, hangga't nakukuha ng gumagamit ang lahat ng kinakailangang mga file.
Ang pag-unawa sa walang simetrya na pag-encrypt o pampubliko at pribadong pag-encrypt na batay sa mga susi ay isang pangunahing pangangailangan upang ligtas na makipag-ugnay sa internet, halimbawa, gamit ang mga digital na lagda.
Inaasahan kong ang tutorial na ito sa mga lagda ng PGP ay kapaki-pakinabang. Patuloy na sundin ang Linux Hint para sa higit pang mga tip at tutorial sa Linux.