當你從網上下載一個文件後(比如:安裝程序、ISO鏡像或者一個壓縮包),文件可能在不同的情況下發生了損壞,比如:由於線路傳輸錯誤、中斷的下載、存儲硬件錯誤、文件系統錯誤等等。除了這些錯誤,文件還可能在下載前或者下載中的攻擊而被有意地篡改了。比如,一個攻破證書頒發機構的攻擊者可以實施一個MITM攻擊(中間人攻擊),欺騙你從HTTPS網站上下載隱藏惡意軟件的文件。
要保護你自己免受這些問題的困擾,建議你去驗證從網上下載的文件的可靠性和完整性。特別是你下載了一個非常敏感的文件的時候)(比如:操作系統鏡像、二進制應用程序、可執行安裝包等等),盲目地相信下載的文件不是一個好習慣。
一個快速和簡單地驗證下載文件的完整性的方法是使用不同的校驗工具(比如:md5sum、sha356sum、cksum)來計算和比較校驗碼(比如:MD5、SHA、CRC)。然而,然而校驗容易受到碰撞攻擊,而且同樣不能用於驗證文件的可靠性(比如:擁有者)。
Linux下的文件加解密技術:GnuPG http://www.linuxidc.com/Linux/2013-04/82570.htm
如果你想要同時驗證下載文件的可靠性(擁有者)和完整性(內容),你需要依賴於加密簽名。本教程中,我會描述如何使用GnuPG(GNU Privacy Guard)來檢查文件的可靠性和完整性。
本例中我會驗證一個從 https://onionshare.org 上下載的磁盤鏡像。這個網站中,發行商會提供他們的公鑰,還有它用於密鑰驗證的指紋。
至於下載的文件,發行商也會提供它相關的PGP簽名。
讓我們首先在你的Linux系統上安裝GnuPG。
在Debian、Ubuntu和其他Debian衍生版上:
在Fedora、CentOS或者RHEL上:
完成安裝後,生成一個本篇中會使用到的鍵對。
在生成鍵對期間,你會被要求提供你的姓名和email,還有保護你私鑰的密碼。你同樣也可以選擇鍵對何時過期(默認不會過期)。依賴於你選擇的key的大小(在1024和4096位之間),key生成會花上幾分鐘或者更多,同時它要求收集來自你桌面活動的大量的隨機數據。(比如鍵盤輸入、鼠標移動、磁盤訪問等等,所以這個時候隨便動動鼠標鍵盤什麼的)。
一旦key生成完畢後,公鑰和私鑰會存儲在~/.gnupg目錄。
更多詳情見請繼續閱讀下一頁的精彩內容: http://www.linuxidc.com/Linux/2014-12/110208p2.htm
