PGP 서명을 어떻게 확인합니까?

PGP는 사이버 위협으로부터 정보를 보호할 뿐만 아니라 파일 무결성을 확인하는 데에도 사용됩니다.

이 튜토리얼은 PGP가 어떻게 작동하는지 쉽게 설명하고 PGP 서명을 확인하는 방법 .

PGP 작동 방식

아래 이미지는 PGP 공개 키를 보여줍니다. 이 PGP 공개 키는 특정 개인 PGP 키로만 복호화할 수 있습니다. 아래의 공개키 발급사도 동일한 과정에서 생성되는 개인 PGP 키를 발급해 주었다. 그는 공개 키만 공유합니다.
메시지를 암호화하기 위해 그의 공개 키를 가져오면 개인 키를 사용하여 메시지를 해독할 수 있습니다. 그의 개인 키만이 그의 공개 키를 사용하여 암호화한 메시지를 해독할 수 있습니다.

정보는 공개키로 암호화하고 개인키로 복호화한다. 이것은 ... 불리운다 비대칭 암호화 .

따라서 공격자가 개인 키 없이 메시지를 가로채더라도 메시지 내용을 볼 수 없습니다.

비대칭 암호화의 장점은 키 교환이 간단하다는 것입니다. 그러나 단점은 많은 양의 데이터를 암호화할 수 없기 때문에 PGP가 두 가지를 모두 구현하는 것입니다.

공개 키를 사용하여 보호된 데이터를 암호화할 때 대칭 암호화가 적용됩니다. 공개 키로 발신자는 두 가지 작업을 수행합니다. 먼저 데이터를 보호하기 위해 대칭 암호화를 생성한 다음 데이터 자체를 암호화하지 않고 데이터를 보호하는 대칭 키를 적용하는 비대칭 암호화를 적용합니다.

좀 더 기술적으로 말하면 대칭키를 적용하기 전에 데이터도 압축해서 대칭키와 공개키로 암호화한다. 다음 차트 흐름은 전체 프로세스를 보여줍니다.

PGP 서명

PGP는 패키지의 무결성을 확인하는 데에도 사용됩니다. 이것은 PGP로 수행할 수 있는 디지털 서명을 통해 달성됩니다.

먼저 PGP는 개인 키로 암호화된 해시를 생성합니다. 개인 키와 해시는 모두 공개 키를 사용하여 해독할 수 있습니다.

PGP는 예를 들어 DSA 또는 RSA 알고리즘을 사용하여 ISO 이미지에 대한 디지털 서명을 만듭니다. 이 경우 앞서 설명한 동작과 달리 소프트웨어나 ISO 이미지에 개인키가 부착된다. 공개 키도 공유됩니다.

사용자는 공개 키를 사용하여 릴리스된 소프트웨어에 첨부된 서명을 확인합니다.

다음 차트 흐름은 개인 키와 해시가 소프트웨어에 연결되는 방법과 사용자가 서명을 확인하기 위해 공개 키와 함께 연결된 해시 및 개인 키가 있는 소프트웨어를 사용하는 방법을 보여줍니다.

PGP 서명을 어떻게 확인합니까?

첫 번째 예는 Linux 커널 서명을 확인하는 방법을 보여줍니다. 그것을 시도하려면 액세스 https://kernel.org 커널 버전과 해당 PGP 파일을 다운로드합니다. 이 예에서는 파일을 다운로드하겠습니다. linux-5.12.7.tar.xz 그리고 linux-5.12.7.tar.sign .

첫 번째 예는 단일 명령으로 서명을 확인하는 방법을 보여줍니다. 매뉴얼 페이지에 따르면 이 옵션 조합은 향후 버전에서 더 이상 사용되지 않을 예정입니다. 그러나 여전히 널리 사용되며 특정 조합은 더 이상 사용되지 않지만 옵션은 유지됩니다.

첫 번째 옵션 -키 서버 옵션 공개 키가 저장된 키 서버에 대한 옵션을 정의할 수 있습니다. 기본적으로 이를 통해 공개 키 가져오기 옵션을 구현할 수 있습니다.

NS -키 서버 옵션 와 결합된다 -자동 키 검색 서명을 확인할 때 키 서버에서 공개 키를 자동으로 검색하는 옵션입니다.

공개 키를 찾기 위해 이 명령은 Web Key Directory를 사용하는 조회 프로세스를 통해 정의된 선호 키 서버 또는 서명자의 ID를 찾는 서명을 읽습니다.

보시다시피 서명은 양호하지만 gpg에서 서명이 소유자의 것인지 확인할 수 없다는 경고 메시지가 있습니다. 누구나 Greg Krohan-Hartman으로 공개 서명을 발행할 수 있습니다. 서명을 다운로드한 서버를 신뢰하기 때문에 서명이 합법적임을 알 수 있습니다. 이 경우 kernel.org에서 다운로드한 .sign에 지정되어 있습니다.
이 경고는 항상 표시되며 옵션을 사용하여 서명을 신뢰할 수 있는 서명 목록에 추가하면 경고를 피할 수 있습니다. – 편집 키 신뢰 . 진실은 사용자가하지 않으며 Gpg 커뮤니티는 경고 제거를 요청했습니다.

SHA256SUMS.gpg 확인

다음 예에서는 상자에서 찾은 이전 Kali Linux 이미지의 무결성을 확인합니다. 이를 위해 동일한 iso 이미지에 속하는 SHA256SUMS.gpg 및 SHA256SUMS 파일을 다운로드했습니다.

iso 이미지, SHA256SUMS.gpg 및 SHA256SUMS를 다운로드한 후에는 공개 키를 가져와야 합니다. 다음 예에서는 다음을 사용하여 키를 가져옵니다. wget 그리고 gpg – 가져오기 (Kali 확인 지침은 이 키 서버로 연결됩니다).

그런 다음 gp를 호출하여 파일 무결성을 확인합니다. -검증 논쟁:

보시는 바와 같이 서명이 잘 되어있고 확인이 성공적으로 이루어졌습니다.

다음 예는 NodeJS 다운로드를 확인하는 방법을 보여줍니다. 첫 번째 명령은 공개 키가 없기 때문에 오류를 반환합니다. 오류는 74F12602B6F1C4E913FAA37AD3A89613643B6201 키를 검색해야 함을 나타냅니다. 일반적으로 지침에서 키 ID를 찾을 수도 있습니다.

옵션을 사용하여 – 키 서버 , 키를 검색할 서버를 지정할 수 있습니다. 옵션을 사용하여 – 수신 키 , 키를 검색합니다. 그런 다음 확인이 작동합니다.

가져와야 하는 키를 복사한 다음 다음을 실행합니다.

gpg 키 검색:

자동 검색 키가 작동하지 않고 확인 관련 지침을 찾을 수 없는 경우 옵션을 사용하여 키 서버에서 키를 검색할 수 있습니다. – 검색 키 .

보시다시피 열쇠가 발견되었습니다. 검색하려는 키의 번호를 눌러 검색할 수도 있습니다.

결론

다운로드 무결성을 확인하면 심각한 문제를 예방하거나 예를 들어 다운로드한 소프트웨어가 제대로 작동하지 않는 경우 문제를 설명할 수 있습니다. gpg를 사용한 프로세스는 사용자가 필요한 모든 파일을 가져오기만 하면 위와 같이 매우 쉽습니다.

비대칭 암호화 또는 공개 및 개인 키 기반 암호화를 이해하는 것은 예를 들어 디지털 서명을 사용하여 인터넷에서 안전하게 상호 작용하기 위한 기본적인 요구 사항입니다.

PGP 서명에 대한 이 튜토리얼이 도움이 되었기를 바랍니다. 더 많은 Linux 팁과 자습서를 보려면 Linux 힌트를 계속 따르십시오.