Cómo verificar la firma PGP del software descargado en Linux

Al instalar el software en un sistema Linux, suele ser un viaje suave. En la mayoría de los casos, utilizaría un administrador de paquetes como APT, DNF o Pacman para instalarlo de forma segura desde los repositorios de su distribución.

En algunos casos, sin embargo, un paquete de software no puede incluirse en el repositorio oficial de la distribución. En tales escenarios, uno se ve obligado a descargarlo desde el sitio web del proveedor. Pero, ¿qué tan seguro está de que el paquete de software no estaba manipulado? Esta es la pregunta que buscaremos responder. En esta guía, nos centramos en cómo verificar la firma PGP de un paquete de software descargado en Linux.

PGP (Muy buena privacidad) es una aplicación criptográfica utilizada para cifrar y firmar archivos. La mayoría de los autores de software firman sus aplicaciones utilizando el programa PGP, por ejemplo, Gpg (Guardia de privacidad de GNU).

Gpg es una implementación de criptografía de OpenPGP y permite la transmisión segura de datos y también se puede utilizar para verificar la integridad de la fuente. De manera similar, puede aprovechar GPG para verificar la autenticidad del software descargado.

La verificación de la integridad del software descargado es un procedimiento de 5 pasos que toma el siguiente pedido.

• Descargar la clave pública del autor del software.
• Verificar la huella digital de la llave.
• Importando la clave pública.
• Descargar el archivo de firma del software.
• Verifique el archivo de firma.

En esta guía, usaremos Tixati - un programa de intercambio de archivos entre pares, como ejemplo para demostrar esto. Ya hemos descargado el paquete Debian de la página de descarga oficial.

Verifique la firma PGP de Tixati

De inmediato, vamos a descargar la clave pública del autor que se usa para verificar cualquier lanzamiento. El enlace a la tecla se proporciona en la parte inferior de la página de descargas de tixati.

TEXA TIXATI GPG

En la línea de comando, tome la clave pública usando el comando wget como se muestra.

$ wget https: // www.tixati.com/tixati.llave 

Verifique la huella digital de la clave pública

Una vez que se descarga la clave, el siguiente paso es verificar la huella digital de la clave pública usando el Comando GPG como se muestra.

$ GPG-Show-Keys Tixati.llave 

La salida resaltada es la huella digital de la clave pública.

Verifique la huella digital de la clave pública

Importar la tecla GPG

Una vez que hayamos revisado la huella digital pública de la llave, importaremos la clave GPG. Esto solo debe hacerse una vez.

$ GPG -Import Tixati.llave 

Importar clave GPG

Descargue el archivo de firma del software

A continuación, descargaremos el archivo de firma PGP que está adyacente al paquete Debian como se indica. El archivo de firma lleva el .asc extensión de archivo.

Descargar el archivo de firma PGP

$ wget https: // download2.tixati.com/descargar/tixati_2.84-1_amd64.debutante.asc 

Descargar el archivo de firma PGP

Verifique el archivo de firma

Por último, verifique la integridad del software utilizando el archivo de firma y contra el paquete Debian como se muestra.

$ GPG -VERIFY TIXATI_2.84-1_amd64.debutante.ASC TIXATI_2.84-1_amd64.debutante 

Verificar el archivo de firma PGP

La salida de la tercera línea confirma que el Firma es del autor del software, en este caso, Tixati Software Inc. La línea de arriba proporciona la huella digital que coincide con la huella digital de la clave pública. Esta es la confirmación de la firma PGP del software.

Esperamos que esta guía proporcione información sobre cómo puede verificar el PGP de un paquete de software descargado en Linux.