الاعتماد على PGP؛ s Web of Trust من دليل Kali Linux من OnWorks

انتقل إلى المحتوى

الاعتماد على شبكة الثقة الخاصة بـ PGP‌

إذا كنت لا تثق في HTTPS للمصادقة ، فأنت مصاب بجنون العظمة بعض الشيء ولكنك محق في ذلك. هناك العديد من الأمثلة على سلطات إصدار الشهادات التي تمت إدارتها بشكل سيئ والتي أصدرت شهادات مارقة ، والتي انتهى بها الأمر إلى إساءة استخدامها. قد تكون أيضًا ضحية لرجل في الوسط "ودود" يتم تنفيذه على العديد من شبكات الشركات ، وذلك باستخدام متجر ثقة مخصص مزروع في المتصفح يقدم شهادات مزيفة لمواقع الويب المشفرة ، مما يسمح لمدققي الشركات بمراقبة البيئة. - حركة المرور المشفرة.

في مثل هذه الحالات ، نوفر أيضًا مفتاح GnuPG الذي نستخدمه لتوقيع المجاميع الاختبارية للصور التي نقدمها. معرّفات المفتاح وبصمات أصابعه موضحة هنا:

pub rsa4096/0xED444FF07D8D0BF6 2012-03-05 [SC] [expires: 2018-02-02]

بصمة المفتاح = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6

uid [كامل] مستودع كالي لينكس[البريد الإلكتروني محمي]> sub rsa4096/0xA8373E18FC0D0DCB 2012-03-05 [E] [تنتهي: 2018-02-02]

pub rsa4096/0xED444FF07D8D0BF6 2012-03-05 [SC] [expires: 2018-02-02]

بصمة المفتاح = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6

uid [كامل] مستودع كالي لينكس[البريد الإلكتروني محمي]> sub rsa4096/0xA8373E18FC0D0DCB 2012-03-05 [E] [تنتهي: 2018-02-02]

هذا المفتاح هو جزء من العالمية شبكة ثقة لأنني وقعت عليه (Raphaël Hertzog) على الأقل وأنا جزء من شبكة الثقة بسبب استخدامي المكثف لـ GnuPG كمطور دبيان.

نموذج الأمان PGP / GPG فريد جدًا. يمكن لأي شخص إنشاء أي مفتاح بأي هوية ، ولكنك لن تثق بهذا المفتاح إلا إذا تم توقيعه بواسطة مفتاح آخر تثق به بالفعل. عندما توقع على مفتاح ، فإنك تقر بأنك قابلت صاحب المفتاح وأنك تعلم أن الهوية المرتبطة صحيحة. وأنت تحدد المجموعة الأولية من المفاتيح التي تثق بها ، والتي تتضمن بوضوح مفتاحك الخاص.

هذا النموذج له حدوده الخاصة ، لذا يمكنك اختيار تنزيل المفتاح العام لـ Kali عبر HTTPS (أو من خادم مفاتيح) وتقرر فقط أنك تثق به لأن بصمة إصبعه تتطابق مع ما أعلناه في أماكن متعددة ، بما في ذلك أعلاه في هذا الكتاب:

$ wget -q -O - https://www.kali.org/archive-key.asc | gpg - استيراد

[ أو ]

$ gpg --keyserver hkp: //keys.gnupg.net --recv-key ED444FF07D8D0BF6

gpg: المفتاح 0xED444FF07D8D0BF6: المفتاح العام "Kali Linux Repository[البريد الإلكتروني محمي]> ”gpg المستوردة: العدد الإجمالي الذي تمت معالجته: 1

gpg: مستورد: 1 (RSA: 1) [...]

$ gpg - بصمة الإصبع 7D8D0BF6

[...]

بصمة المفتاح = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6

[...]

$ wget -q -O - https://www.kali.org/archive-key.asc | gpg - استيراد

[ أو ]

$ gpg --keyserver hkp: //keys.gnupg.net --recv-key ED444FF07D8D0BF6

gpg: المفتاح 0xED444FF07D8D0BF6: المفتاح العام "Kali Linux Repository[البريد الإلكتروني محمي]> ”gpg المستوردة: العدد الإجمالي الذي تمت معالجته: 1

gpg: مستورد: 1 (RSA: 1) [...]

$ gpg - بصمة الإصبع 7D8D0BF6

[...]

بصمة المفتاح = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6

[...]

بعد استرجاع المفتاح ، يمكنك استخدامه للتحقق من المجاميع الاختبارية للصور الموزعة. لنقم بتنزيل الملف مع المجموع الاختباري (SHA256SUMS) وملف التوقيع المرتبط (SHA256SUMS.gpg) وتحقق من التوقيع:

$ wget http://cdimage.kali.org/current/SHA256SUMS

[...]

$ wget http://cdimage.kali.org/current/SHA256SUMS.gpg

[...]

$ gpg - تحقق من SHA256SUMS.gpg SHA256SUMS

gpg: التوقيع الخميس 16 مارس 2017 08:55:45 صباحًا MDT gpg: استخدام مفتاح RSA ED444FF07D8D0BF6

gpg: توقيع جيد من "Kali Linux Repository[البريد الإلكتروني محمي]> "

$ wget http://cdimage.kali.org/current/SHA256SUMS

[...]

$ wget http://cdimage.kali.org/current/SHA256SUMS.gpg

[...]

$ gpg - تحقق من SHA256SUMS.gpg SHA256SUMS

gpg: التوقيع الخميس 16 مارس 2017 08:55:45 صباحًا MDT gpg: استخدام مفتاح RSA ED444FF07D8D0BF6

gpg: توقيع جيد من "Kali Linux Repository[البريد الإلكتروني محمي]> "

إذا تلقيت رسالة "التوقيع الجيد" ، فيمكنك الوثوق بمحتوى SHA256SUMS ملف واستخدمه للتحقق من الملفات التي قمت بتنزيلها. خلاف ذلك ، هناك مشكلة. يجب عليك مراجعة ما إذا كنت قد قمت بتنزيل الملفات من مرآة Kali Linux شرعية.

لاحظ أنه يمكنك استخدام سطر الأوامر التالي للتحقق من أن الملف الذي تم تنزيله يحتوي على نفس المجموع الاختباري المدرج في SHA256SUMS، بشرط أن يكون ملف ISO الذي تم تنزيله في نفس الدليل:

$ grep kali-linux-2017.1-amd64.iso SHA256SUMS | sha256sum -ج

kali-linux-2017.1-amd64.iso: حسنًا

$ grep kali-linux-2017.1-amd64.iso SHA256SUMS | sha256sum -ج

kali-linux-2017.1-amd64.iso: حسنًا

إذا لم تحصل على OK ردًا على ذلك ، فإن الملف الذي قمت بتنزيله يختلف عن الملف الذي تم تأجيره بواسطة فريق Kali. لا يمكن الوثوق به ويجب عدم استخدامه.

<السابق | المحتويات | التالي>