Dokumentasi<Sebelumnya | Konten | Selanjutnya>
Mengandalkan Web Kepercayaan PGP
Jika Anda tidak mempercayai HTTPS untuk otentikasi, Anda agak paranoid tetapi memang seharusnya begitu. Ada banyak contoh otoritas sertifikat yang dikelola dengan buruk yang mengeluarkan sertifikat nakal, yang akhirnya disalahgunakan. Anda mungkin juga menjadi korban serangan man-in-the-middle “ramah” yang diterapkan di banyak jaringan perusahaan, menggunakan toko kepercayaan khusus yang ditanamkan browser yang menyajikan sertifikat palsu ke situs web terenkripsi, memungkinkan auditor perusahaan untuk memantau - lalu lintas terenkripsi.
Untuk kasus seperti ini, kami juga menyediakan kunci GnuPG yang kami gunakan untuk menandatangani checksum dari gambar yang kami berikan. Pengidentifikasi kunci dan sidik jarinya ditampilkan di sini:
pub rsa4096/0xED444FF07D8D0BF6 2012-03-05 [SC] [expires: 2018-02-02]
Sidik jari kunci = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
uid [lengkap] Repositori Kali Linux[email dilindungi]> sub rsa4096/0xA8373E18FC0D0DCB 2012-03-05 [E] [kedaluwarsa: 2018-02-02]
pub rsa4096/0xED444FF07D8D0BF6 2012-03-05 [SC] [expires: 2018-02-02]
Sidik jari kunci = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
uid [lengkap] Repositori Kali Linux[email dilindungi]> sub rsa4096/0xA8373E18FC0D0DCB 2012-03-05 [E] [kedaluwarsa: 2018-02-02]
Kunci ini adalah bagian dari global Web kepercayaan karena setidaknya telah ditandatangani oleh saya (Raphaël Hertzog) dan saya adalah bagian dari web kepercayaan karena penggunaan GnuPG yang berat sebagai pengembang Debian.
Model keamanan PGP/GPG sangat unik. Siapa pun dapat membuat kunci apa pun dengan identitas apa pun, tetapi Anda hanya akan memercayai kunci itu jika telah ditandatangani oleh kunci lain yang sudah Anda percayai. Saat Anda menandatangani kunci, Anda menyatakan bahwa Anda bertemu dengan pemegang kunci dan bahwa Anda tahu bahwa identitas terkait sudah benar. Dan Anda menentukan kumpulan kunci awal yang Anda percayai, yang jelas-jelas menyertakan kunci Anda sendiri.
Model ini memiliki batasannya sendiri sehingga Anda dapat memilih untuk mengunduh kunci publik Kali melalui HTTPS (atau dari server kunci) dan memutuskan bahwa Anda memercayainya karena sidik jarinya cocok dengan apa yang kami umumkan di banyak tempat, termasuk tepat di atas dalam buku ini:
$wget -q -O - https://www.kali.org/archive-key.asc | gpg --impor
[ atau ]
$ gpg --keyserver hkp://keys.gnupg.net --recv-key ED444FF07D8D0BF6
gpg: kunci 0xED444FF07D8D0BF6: kunci publik ”Repositori Kali Linux[email dilindungi]>” gpg yang diimpor: Jumlah total yang diproses: 1
gpg: diimpor: 1 (RSA: 1) [...]
$ gpg --sidik jari 7D8D0BF6
[...]
Sidik jari kunci = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
[...]
$wget -q -O - https://www.kali.org/archive-key.asc | gpg --impor
[ atau ]
$ gpg --keyserver hkp://keys.gnupg.net --recv-key ED444FF07D8D0BF6
gpg: kunci 0xED444FF07D8D0BF6: kunci publik ”Repositori Kali Linux[email dilindungi]>” gpg yang diimpor: Jumlah total yang diproses: 1
gpg: diimpor: 1 (RSA: 1) [...]
$ gpg --sidik jari 7D8D0BF6
[...]
Sidik jari kunci = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
[...]
Setelah Anda mengambil kuncinya, Anda dapat menggunakannya untuk memverifikasi checksum dari gambar yang didistribusikan. Mari unduh file dengan checksum (SHA256SUMS) dan file tanda tangan terkait (SHA256SUMS.gpg) dan verifikasi tanda tangan:
$wgethttp://cdimage.kali.org/current/SHA256SUMS
[...]
$wget http://cdimage.kali.org/current/SHA256SUMS.gpg
[...]
$ gpg --verifikasi SHA256SUMS.gpg SHA256SUMS
gpg: Tanda tangan dibuat Kam 16 Mar 2017 08:55:45 MDT gpg: menggunakan kunci RSA ED444FF07D8D0BF6
gpg: Tanda tangan bagus dari ”Repositori Kali Linux[email dilindungi]> "
$wgethttp://cdimage.kali.org/current/SHA256SUMS
[...]
$wget http://cdimage.kali.org/current/SHA256SUMS.gpg
[...]
$ gpg --verifikasi SHA256SUMS.gpg SHA256SUMS
gpg: Tanda tangan dibuat Kam 16 Mar 2017 08:55:45 MDT gpg: menggunakan kunci RSA ED444FF07D8D0BF6
gpg: Tanda tangan bagus dari ”Repositori Kali Linux[email dilindungi]> "
Jika Anda mendapatkan pesan “Tanda tangan yang baik” itu, Anda dapat mempercayai konten dari SHA256SUMS file dan gunakan untuk memverifikasi file yang Anda unduh. Jika tidak, ada masalah. Anda harus meninjau apakah Anda mengunduh file dari mirror Kali Linux yang sah.
Perhatikan bahwa Anda dapat menggunakan baris perintah berikut untuk memverifikasi bahwa file yang diunduh memiliki checksum yang sama dengan yang tercantum di: SHA256SUMS, asalkan file ISO yang diunduh berada di direktori yang sama:
$ grep kali-linux-2017.1-amd64.iso SHA256SUMS | sha256sum -c
kali-linux-2017.1-amd64.iso: Oke
$ grep kali-linux-2017.1-amd64.iso SHA256SUMS | sha256sum -c
kali-linux-2017.1-amd64.iso: Oke
Jika Anda tidak mendapatkan OK sebagai responnya, maka file yang telah anda download berbeda dengan yang dikeluarkan oleh tim Kali. Itu tidak dapat dipercaya dan tidak boleh digunakan.