Comment vérifier la signature PGP du logiciel téléchargé sur Linux

Lors de l'installation de logiciels sur un système Linux est généralement une conduite en douceur. Dans la plupart des cas, vous utiliseriez un gestionnaire de packages tel que APT, DNF ou Pac-Man Pour l'installer en toute sécurité à partir des référentiels de votre distribution.

Dans certains cas, cependant, un progiciel peut ne pas être inclus dans le référentiel officiel de la distribution. Dans de tels scénarios, on est obligé de le télécharger à partir du site Web du fournisseur. Mais à quel point êtes-vous sûr que le progiciel n'a pas été falsifié? C'est la question à laquelle nous chercherons à répondre. Dans ce guide, nous nous concentrons sur la façon de vérifier la signature PGP d'un progiciel téléchargé dans Linux.

PGP (assez bonne intimité) est une application cryptographique utilisée pour le chiffrement et la signature de fichiers. La plupart des auteurs de logiciels signent leurs applications en utilisant le programme PGP par exemple GPG (GNU Privacy Guard).

GPG est une implémentation de cryptographie de Openpgp et il permet une transmission sécurisée des données et peut également être utilisée pour vérifier l'intégrité de la source. De la même manière, vous pouvez tirer parti de GPG pour vérifier l'authenticité des logiciels téléchargés.

La vérification de l'intégrité du logiciel téléchargé est une procédure en 5 étapes qui prend l'ordre suivant.

• Télécharger la clé publique de l'auteur du logiciel.
• Vérifier l'empreinte digitale de la clé.
• Importation de la clé publique.
• Téléchargement du fichier de signature du logiciel.
• Vérifiez le fichier de signature.

Dans ce guide, nous utiliserons Tixati - un programme de partage de fichiers entre pairs - comme exemple pour le démontrer. Déjà, nous avons téléchargé le package Debian à partir de la page de téléchargement officielle.

Vérifiez la signature PGP de Tixati

Dès le départ, nous allons télécharger la clé publique de l'auteur qui est utilisée pour vérifier toutes les sorties. Le lien vers la clé est fourni en bas de la page Téléchargement Tixati.

Touche gpg tixati

Sur la ligne de commande, saisissez la clé publique en utilisant la commande wget comme indiqué.

$ wget https: // www.tixati.com / tixati.clé 

Vérifiez l'empreinte digitale de la clé publique

Une fois la clé téléchargée, l'étape suivante consiste à vérifier l'empreinte digitale de la clé publique en utilisant le Commande GPG comme montré.

$ gpg - key-keys tixati.clé 

La sortie en surbrillance est l'empreinte digitale de la clé publique.

Vérifiez l'empreinte digitale de la clé publique

Importer la clé GPG

Une fois que nous aurons vérifié l'empreinte digitale publique de la clé, nous importerons la clé GPG. Cela a seulement besoin d'être fait une fois.

$ gpg - Import tixati.clé 

Importer la clé GPG

Télécharger le fichier de signature du logiciel

Ensuite, nous téléchargerons le fichier de signature PGP qui est juste adjacent au package Debian comme indiqué. Le fichier de signature porte le .ASC extension de fichier.

Télécharger le fichier de signature PGP

$ wget https: // download2.tixati.com / download / tixati_2.84-1_AMD64.deb.ASC 

Télécharger le fichier de signature PGP

Vérifiez le fichier de signature

Enfin, vérifiez l'intégrité du logiciel à l'aide du fichier de signature et contre le package Debian comme indiqué.

$ gpg --verify tixati_2.84-1_AMD64.deb.asc tixati_2.84-1_AMD64.deb 

Vérifiez le fichier de signature PGP

La sortie de la troisième ligne confirme que le Signature provient de l'auteur du logiciel, dans ce cas, Tixati Software Inc. La ligne ci-dessus fournit l'empreinte digitale qui correspond à l'empreinte digitale de la clé publique. Ceci est la confirmation de la signature PGP du logiciel.

Nous espérons que ce guide a fourni des informations sur la façon dont vous pouvez vérifier le PGP d'un progiciel téléchargé dans Linux.