Como verificar a assinatura PGP do software baixado no Linux
A instalação de software em um sistema Linux geralmente é tranquila. Na maioria dos casos, você usaria um gerenciador de pacotes como apt, dnf ou Pacman para instalá-lo com segurança a partir dos repositórios da sua distribuição.
Em alguns casos, entretanto, um pacote de software pode não estar incluído no repositório oficial da distribuição. Nesses cenários, é necessário baixá-lo do site do fornecedor. Mas até que ponto você tem certeza de que o pacote de software não foi adulterado? Esta é a questão que procuraremos responder. Neste guia, nos concentramos em como verificar a assinatura PGP de um pacote de software baixado no Linux.
PGP (Pretty Good Privacy) é um aplicativo criptográfico usado para criptografar e assinar arquivos. A maioria dos autores de software assina seus aplicativos usando o programa PGP, por exemplo GPG (GNU Privacy Guard).
GPG é uma implementação de criptografia do OpenPGP e permite a transmissão segura de dados e também pode ser usado para verificar a integridade da fonte. De maneira semelhante, você pode aproveitar o GPG para verificar a autenticidade do software baixado.
A verificação da integridade do software baixado é um procedimento de 5 etapas que segue a seguinte ordem.
- Baixando a chave pública do autor do software.
- Verificando a impressão digital da chave.
- Importando a chave pública.
- Baixando o arquivo de assinatura do software.
- Verifique o arquivo de assinatura.
Neste guia, usaremos o Tixati – um programa de compartilhamento de arquivos peer-to-peer – como exemplo para demonstrar isso. Já baixamos o pacote Debian da página oficial de download.
Verifique a assinatura PGP do Tixati
De cara, vamos baixar a chave pública do autor que é usada para verificar quaisquer lançamentos. O link para a chave é fornecido na parte inferior da página de downloads do Tixati.
Na linha de comando, pegue a chave pública usando o comando wget conforme mostrado.
wget https://www.tixati.com/tixati.key
Verifique a impressão digital da chave pública
Depois que a chave for baixada, a próxima etapa é verificar a impressão digital da chave pública usando o comando gpg conforme mostrado.
gpg --show-keys tixati.key
A saída destacada é a impressão digital da chave pública.
Importe a chave GPG
Depois de verificarmos a impressão digital pública da chave, importaremos a chave GPG. Isso só precisa ser feito uma vez.
gpg --import tixati.key
Baixe o arquivo de assinatura do software
A seguir, baixaremos o arquivo de assinatura PGP que fica adjacente ao pacote Debian conforme indicado. O arquivo de assinatura possui a extensão de arquivo .asc
.
wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc
Verifique o arquivo de assinatura
Por último, verifique a integridade do software usando o arquivo de assinatura e o pacote Debian conforme mostrado.
gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb
A saída da terceira linha confirma que a Assinatura é do autor do software, neste caso, Tixati Software Inc. A linha acima fornece a impressão digital que corresponde à impressão digital da chave pública. Esta é a confirmação da assinatura PGP do software.
Esperamos que este guia tenha fornecido informações sobre como você pode verificar o PGP de um pacote de software baixado no Linux.