Cara memverifikasi tanda tangan PGP dari perangkat lunak yang diunduh di Linux

Saat menginstal perangkat lunak pada sistem Linux biasanya merupakan perjalanan yang mulus. Dalam kebanyakan kasus, Anda akan menggunakan manajer paket seperti APT, DNF, atau Pacman untuk menginstalnya dengan aman dari repositori distribusi Anda.

Namun, dalam beberapa kasus, paket perangkat lunak mungkin tidak dimasukkan dalam repositori resmi distribusi. Dalam skenario seperti itu, seseorang terpaksa mengunduhnya dari situs web vendor. Tapi seberapa yakin Anda bahwa paket perangkat lunak tidak dirusak? Inilah pertanyaan yang akan kami jawab. Dalam panduan ini, kami fokus pada cara memverifikasi tanda tangan PGP dari paket perangkat lunak yang diunduh di Linux.

PGP (Privasi yang cukup bagus) adalah aplikasi kriptografi yang digunakan untuk enkripsi dan penandatanganan file. Sebagian besar penulis perangkat lunak menandatangani aplikasi mereka menggunakan program PGP misalnya GPG (Penjaga Privasi GNU).

GPG adalah implementasi kriptografi Openpgp dan memungkinkan transmisi data yang aman dan juga dapat digunakan untuk memverifikasi integritas sumber. Dengan cara yang sama, Anda dapat memanfaatkan GPG untuk memverifikasi keaslian perangkat lunak yang diunduh.

Verifikasi integritas perangkat lunak yang diunduh adalah prosedur 5 langkah yang mengambil pesanan berikut.

• Mengunduh kunci publik penulis perangkat lunak.
• Memeriksa sidik jari kunci.
• Mengimpor Kunci Publik.
• Mengunduh file tanda tangan perangkat lunak.
• Verifikasi file tanda tangan.

Dalam panduan ini, kami akan menggunakan Tixati - Program Berbagi File Peer-to-Peer-Sebagai contoh untuk menunjukkan ini. Sudah, kami telah mengunduh paket Debian dari halaman unduhan resmi.

Verifikasi tanda tangan PGP Tixati

Langsung dari kelelawar, kami akan mengunduh kunci publik penulis yang digunakan untuk memverifikasi rilis. Tautan ke kunci disediakan di bagian bawah halaman unduhan tixati.

Pada baris perintah, ambil kunci publik menggunakan perintah wget seperti yang ditunjukkan.

$ wget https: // www.tixati.com/tixati.kunci 

Periksa sidik jari kunci publik

Setelah kunci diunduh, langkah selanjutnya adalah memeriksa sidik jari kunci publik menggunakan Perintah GPG seperti yang ditunjukkan.

$ GPG-Tixati Koki.kunci 

Output yang disorot adalah sidik jari dari kunci publik.

Impor kunci GPG

Setelah kami memeriksa sidik jari publik kunci, kami akan mengimpor kunci GPG. Ini hanya perlu dilakukan sekali.

$ GPG -Import Tixati.kunci 

Unduh file tanda tangan perangkat lunak

Selanjutnya, kami akan mengunduh file tanda tangan PGP yang hanya berdekatan dengan paket Debian seperti yang ditunjukkan. File tanda tangan mengandung .ASC ekstensi file.

$ wget https: // download2.tixati.com/download/tixati_2.84-1_amd64.Deb.ASC 

Verifikasi file tanda tangan

Terakhir, verifikasi integritas perangkat lunak menggunakan file tanda tangan dan terhadap paket Debian seperti yang ditunjukkan.

$ gpg --verifikasi tixati_2.84-1_amd64.Deb.ASC tixati_2.84-1_amd64.Deb 

Output baris ketiga menegaskan bahwa Tanda tangan berasal dari penulis perangkat lunak, dalam hal ini, Tixati Software Inc. Garis di atas menyediakan sidik jari yang cocok dengan sidik jari kunci publik. Ini adalah konfirmasi tanda tangan PGP dari perangkat lunak.

Kami berharap panduan ini memberikan wawasan tentang bagaimana Anda dapat melakukan memverifikasi PGP paket perangkat lunak yang diunduh di Linux.