Pesquisa de site

Como verificar a assinatura PGP do software baixado no Linux

A instalação de software em um sistema Linux geralmente é tranquila. Na maioria dos casos, você usaria um gerenciador de pacotes como apt, dnf ou Pacman para instalá-lo com segurança a partir dos repositórios da sua distribuição.

Em alguns casos, entretanto, um pacote de software pode não estar incluído no repositório oficial da distribuição. Nesses cenários, é necessário baixá-lo do site do fornecedor. Mas até que ponto você tem certeza de que o pacote de software não foi adulterado? Esta é a questão que procuraremos responder. Neste guia, nos concentramos em como verificar a assinatura PGP de um pacote de software baixado no Linux.

PGP (Pretty Good Privacy) é um aplicativo criptográfico usado para criptografar e assinar arquivos. A maioria dos autores de software assina seus aplicativos usando o programa PGP, por exemplo GPG (GNU Privacy Guard).

GPG é uma implementação de criptografia do OpenPGP e permite a transmissão segura de dados e também pode ser usado para verificar a integridade da fonte. De maneira semelhante, você pode aproveitar o GPG para verificar a autenticidade do software baixado.

A verificação da integridade do software baixado é um procedimento de 5 etapas que segue a seguinte ordem.

  • Baixando a chave pública do autor do software.
  • Verificando a impressão digital da chave.
  • Importando a chave pública.
  • Baixando o arquivo de assinatura do software.
  • Verifique o arquivo de assinatura.

Neste guia, usaremos o Tixati – um programa de compartilhamento de arquivos peer-to-peer – como exemplo para demonstrar isso. Já baixamos o pacote Debian da página oficial de download.

Verifique a assinatura PGP do Tixati

De cara, vamos baixar a chave pública do autor que é usada para verificar quaisquer lançamentos. O link para a chave é fornecido na parte inferior da página de downloads do Tixati.

Na linha de comando, pegue a chave pública usando o comando wget conforme mostrado.

wget https://www.tixati.com/tixati.key

Verifique a impressão digital da chave pública

Depois que a chave for baixada, a próxima etapa é verificar a impressão digital da chave pública usando o comando gpg conforme mostrado.

gpg --show-keys tixati.key

A saída destacada é a impressão digital da chave pública.

Importe a chave GPG

Depois de verificarmos a impressão digital pública da chave, importaremos a chave GPG. Isso só precisa ser feito uma vez.

gpg --import tixati.key

Baixe o arquivo de assinatura do software

A seguir, baixaremos o arquivo de assinatura PGP que fica adjacente ao pacote Debian conforme indicado. O arquivo de assinatura possui a extensão de arquivo .asc.

wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

Verifique o arquivo de assinatura

Por último, verifique a integridade do software usando o arquivo de assinatura e o pacote Debian conforme mostrado.

gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

A saída da terceira linha confirma que a Assinatura é do autor do software, neste caso, Tixati Software Inc. A linha acima fornece a impressão digital que corresponde à impressão digital da chave pública. Esta é a confirmação da assinatura PGP do software.

Esperamos que este guia tenha fornecido informações sobre como você pode verificar o PGP de um pacote de software baixado no Linux.