PGPは、サイバー脅威から情報を保護するためだけでなく、ファイルの整合性をチェックするためにも使用されます。
このチュートリアルでは、PGPの仕組みと PGP署名を確認する方法 。
PGPのしくみ
以下の画像は、PGP公開鍵を示しています。このPGP公開鍵は、特定の秘密PGP鍵でのみ復号化できます。以下の公開鍵の発行者も、同じプロセスで生成されるため、秘密PGP鍵を発行しました。彼は公開鍵のみを共有します。
彼へのメッセージを暗号化するために彼の公開鍵を使用すると、彼は彼の秘密鍵を使用してメッセージを復号化できるようになります。彼の公開鍵を使用して暗号化したメッセージを復号化できるのは、彼の秘密鍵だけです。
情報は公開鍵を使用して暗号化され、秘密鍵を使用して復号化されます。これは呼ばれます 非対称暗号化 。
そのため、攻撃者が秘密鍵なしでメッセージを傍受したとしても、メッセージの内容を見ることができません。
非対称暗号化の利点は、鍵交換が簡単なことです。ただし、その欠点は、大量のデータを暗号化できないことです。そのため、PGPは両方を実装しています。
公開鍵を使用して保護されたデータを暗号化する場合、対称暗号化が適用されます。公開鍵を使用して、送信者は2つのことを行います。最初にデータを保護するための対称暗号化を生成し、次にデータ自体を暗号化しない非対称暗号化を適用しますが、データを保護する対称鍵を適用します。
より技術的には、対称鍵が適用される前に、対称鍵と公開鍵で暗号化される前にデータも圧縮されます。次のチャートフローは、プロセス全体を示しています。
PGP署名
PGPは、パッケージの整合性をチェックするためにも使用されます。これは、PGPで実行できるデジタル署名によって実現されます。
まず、PGPは秘密鍵で暗号化されたハッシュを生成します。秘密鍵とハッシュの両方は、公開鍵を使用して復号化できます。
PGPは、たとえば、DSAまたはRSAアルゴリズムを使用してISOイメージのデジタル署名を作成します。この場合、前述の操作とは逆に、秘密鍵がソフトウェアまたはISOイメージに添付されます。公開鍵も共有されます。
ユーザーは公開鍵を使用して、リリースされたソフトウェアに添付されている署名を確認します。
次のグラフの流れは、秘密鍵とハッシュがソフトウェアにどのように添付されているか、およびユーザーが添付されたハッシュと秘密鍵を公開鍵と一緒にソフトウェアに持って行って署名を検証する方法を示しています。
PGP署名を確認するにはどうすればよいですか?
最初の例は、Linuxカーネルの署名を検証する方法を示しています。試してみるには、 https://kernel.org カーネルバージョンとそのPGPファイルをダウンロードします。この例では、ファイルをダウンロードします linux-5.12.7.tar.xz と linux-5.12.7.tar.sign 。
最初の例は、1つのコマンドで署名を検証する方法を示しています。マニュアルページによると、このオプションの組み合わせは将来のバージョンで非推奨になる予定です。ただし、それはまだ広く使用されており、特定の組み合わせは非推奨になりますが、オプションは残ります。
最初のオプション –keyserver-options 公開鍵が保存されるキーサーバーのオプションを定義できます。基本的に、これにより公開鍵フェッチオプションの実装が可能になります。
NS –keyserver-options と組み合わせる –auto-key-retrieve 署名を検証するときにキーサーバーから公開鍵を自動的に取得するオプション。
公開鍵を見つけるために、このコマンドは署名を読み取り、Web Key Directoryを使用したルックアッププロセスを通じて、定義された優先鍵サーバーまたは署名者のIDを探します。
gpg--keyserver-options自動キー取得 - 確認linux-5.12.7.tar.sign 
ご覧のとおり、署名は良好ですが、gpgは署名が所有者のものであることを確認できないという警告メッセージが表示されます。誰でもGregKrohan-Hartmanとして公開署名を発行できます。ダウンロード元のサーバーを信頼しているため、署名が正当であることがわかります。この場合、kernel.orgからダウンロードした.signで指定されます。
この警告は常に存在し、オプションを使用してシグニチャの信頼できるリストにシグニチャを追加することで回避できます。 –編集キーの信頼 。真実はユーザーがそれをしないということであり、Gpgコミュニティは警告の削除を要求しました。
SHA256SUMS.gpgの検証
次の例では、ボックスで見つけた古いKaliLinuxイメージの整合性を検証します。この目的のために、同じISOイメージに属するSHA256SUMS.gpgファイルとSHA256SUMSファイルをダウンロードしました。
ISOイメージ、SHA256SUMS.gpg、およびSHA256SUMSをダウンロードしたら、公開鍵を取得する必要があります。次の例では、を使用してキーをフェッチします wget と gpg –import (Kali検証手順はこのキーサーバーにリンクしています)。
次に、gpgを呼び出してファイルの整合性を確認します。 -確認 口論:
wget -NS -また-https://archive.kali.org/アーカイブ-key.asc|gpg - 輸入gpg - 確認SHA256SUMS.gpg SHA256SUMS
ご覧のとおり、署名は良好で、検証は成功しました。
次の例は、NodeJSのダウンロードを確認する方法を示しています。公開鍵がないため、最初のコマンドはエラーを返します。エラーは、キー74F12602B6F1C4E913FAA37AD3A89613643B6201を検索する必要があることを示しています。通常、キーIDは手順にも記載されています。
オプションを使用して –keyserver 、キーを検索するサーバーを指定できます。オプションを使用して –recv-keys 、キーを取得します。次に、検証が機能します。
gpg - 確認SHASUMS256.txt.ascフェッチする必要のあるキーをコピーしてから、次のコマンドを実行します。
gpg--keyserverpool.sks-keyservers.net--recv-keys74F12602B6F1C4E913FAA37AD3A89613643B6201
gpg - 確認SHASUMS256.txt.asc
gpgキーの検索:
キーの自動取得が機能せず、確認固有の手順が見つからない場合は、オプションを使用してキーサーバーでキーを検索できます –検索キー 。
gpg-検索キー74F12602B6F1C4E913FAA37AD3A89613643B6201 
ご覧のとおり、鍵が見つかりました。取得したいキーの番号を押して取得することもできます。
結論
ダウンロードの整合性を確認すると、深刻な問題を防止したり、ダウンロードしたソフトウェアが正しく機能しない場合などに説明したりする場合があります。上記のように、gpgを使用したプロセスは、ユーザーが必要なすべてのファイルを取得している限り、非常に簡単です。
非対称暗号化または公開鍵と秘密鍵ベースの暗号化を理解することは、たとえばデジタル署名を使用して、インターネット上で安全に対話するための基本的な必要性です。
PGP署名に関するこのチュートリアルがお役に立てば幸いです。 Linuxのヒントやチュートリアルについては、Linuxのヒントに従ってください。