Computer >> कंप्यूटर >  >> प्रणाली >> Linux

डिजिटल हस्ताक्षर के साथ लिनक्स सॉफ्टवेयर की प्रामाणिकता को कैसे सत्यापित करें

डिजिटल हस्ताक्षर के साथ लिनक्स सॉफ्टवेयर की प्रामाणिकता को कैसे सत्यापित करें

जब आप इंटरनेट से सॉफ़्टवेयर डाउनलोड करते हैं, तो आपको डेवलपर पर भरोसा करना होगा कि उनका प्रोग्राम दुर्भावनापूर्ण नहीं है। हालाँकि, आपको हैकर्स के बारे में भी चिंता करने की ज़रूरत है। वेबसाइट को हैक करने और पिछले दरवाजे वाले संस्करण के साथ सॉफ़्टवेयर को बदलने से एक हमलावर बहुत कुछ हासिल कर सकता है।

उस साइट के बारे में सोचें जो बिटकॉइन वॉलेट उपयोगिता को होस्ट करती है। यदि कोई हमलावर वैध संस्करण को दुर्भावनापूर्ण संस्करण से बदलने का प्रबंधन करता है, तो वह संभावित रूप से हजारों उपयोगकर्ताओं से पैसे चुरा सकता है। पिछले दरवाजे के लिए एक और मूल्यवान लक्ष्य एक ऑपरेटिंग सिस्टम है। यह अतीत में लिनक्स टकसाल के साथ हुआ था।

तो, आप इसके बारे में क्या कर सकते हैं?

हैश और सिग्नेचर

सुरक्षा के प्रति सचेत रहने वाले डेवलपर अक्सर अपनी सेटअप फ़ाइलों या संग्रहों को चेकसम के साथ बंडल करते हैं जिन्हें आप सत्यापित कर सकते हैं। आप पढ़ सकते हैं कि उन्हें विंडोज या लिनक्स पर कैसे सत्यापित किया जाए। हालाँकि, इन हैश के साथ समस्या यह है कि यदि कोई हैकर किसी वेबसाइट पर फ़ाइलों को बदल देता है, तो वह आसानी से हैश को भी बदल सकता है। यह हैश को अपने आप लगभग बेकार बना देता है, खासकर यदि वे उसी सर्वर पर होस्ट किए जाते हैं जहां प्रोग्राम रहते हैं।

इन चेकसमों को उपयोगी बनाने के लिए, डेवलपर्स सार्वजनिक और निजी कुंजी जोड़ी की सहायता से डिजिटल रूप से हस्ताक्षर भी कर सकते हैं। केवल वही व्यक्ति हस्ताक्षर बना सकता है जिसके पास यह निजी कुंजी है। इन्हें केवल संबंधित सार्वजनिक कुंजी से सत्यापित किया जा सकता है, जो इंटरनेट पर प्रकाशित होती है। यदि सत्यापन पास हो जाता है, तो आप (लगभग हमेशा) निश्चित हो सकते हैं कि निजी कुंजी के स्वामी ने अपने सॉफ़्टवेयर पर हस्ताक्षर किए हैं।

एक हैकर के लिए इस सुरक्षा तंत्र को बायपास करने के लिए, उसे किसी तरह निजी कुंजी चुरानी पड़ती है, जिसे करना बहुत कठिन होता है यदि मालिक इसे गुप्त रखने के लिए उचित उपाय करता है। और जब चाबी चोरी हो जाती है, तब भी मालिक इसे रद्द करके और इसकी घोषणा करके इसे अमान्य कर सकता है। यदि ऐसा होता है, तो जब आप उसकी सार्वजनिक कुंजी डाउनलोड करते हैं और हस्ताक्षर को सत्यापित करने के लिए उसका उपयोग करने का प्रयास करते हैं, तो आपको सूचित किया जाएगा कि इसे रद्द कर दिया गया है।

GnuPG (GPG) का उपयोग करके हस्ताक्षर कैसे सत्यापित करें

gpg उपयोगिता आमतौर पर सभी डिस्ट्रोस पर डिफ़ॉल्ट रूप से स्थापित होती है। यदि, किसी कारण से, यह गायब है, तो आप इसे नीचे दिए गए आदेशों के साथ स्थापित कर सकते हैं। कुछ वितरणों पर, यदि आपको "gpg:dirmngr '/usr/bin/dirmngr' प्रारंभ करने में विफल जैसी कोई त्रुटि मिलती है:ऐसी कोई फ़ाइल या निर्देशिका नहीं, ” आपको dirmngr इंस्टॉल करना होगा साथ ही।

डेबियन, उबंटू या डेबियन-आधारित डिस्ट्रोस पर, रन करें:

sudo apt install gnupg dirmngr

RedHat/CentOS के लिए:

sudo yum install gnupg dirmngr

और फेडोरा पर:

sudo dnf install gnupg dirmngr

आप नीचे दिए गए उदाहरण का अनुसरण करके परीक्षण कर सकते हैं कि आप डेबियन 9.8.0 इंस्टॉलर आईएसओ को कैसे सत्यापित करेंगे।

"SHA256SUMS," "SHA256SUMS.sign," और "debian-9.8.0-amd64-netinst.iso" डाउनलोड करें। आपको पहली दो फाइलों पर राइट-क्लिक करना पड़ सकता है और अपने वेब ब्राउज़र में "लिंक को इस रूप में सहेजें" या समकक्ष का चयन करना होगा। अन्यथा, उन पर क्लिक करने से स्वचालित रूप से डाउनलोड होने के बजाय उनकी सामग्री प्रदर्शित हो सकती है।

एक टर्मिनल एमुलेटर खोलें और उस निर्देशिका में बदलें जहां आपके डाउनलोड स्थित हैं।

cd Downloads/

चेकसम सत्यापित करना

आईएसओ डाउनलोड समाप्त होने की प्रतीक्षा करें। इसके बाद, SHA256 चेकसम सत्यापित करें।

sha256sum -c SHA256SUMS

डिजिटल हस्ताक्षर के साथ लिनक्स सॉफ्टवेयर की प्रामाणिकता को कैसे सत्यापित करें

चेकसम अच्छा होने पर आपको "ओके" संदेश के बाद फ़ाइल का नाम दिखाई देगा। अन्य प्रकार के चेकसम को सत्यापित करने के लिए, आपके पास निम्न आदेश हैं:sha1sum , sha512sum , md5sum . लेकिन यह अनुशंसा की जाती है कि यदि उपलब्ध हो तो आप कम से कम SHA256 राशि या उससे अधिक का उपयोग करें।

कुछ साइटें SHA256SUMS जैसी फ़ाइलों की पेशकश नहीं करती हैं, जहां आसान सत्यापन के लिए फ़ाइल नाम और चेकसम को एक साथ समूहीकृत किया जाता है। अगर वे सिर्फ अपनी साइट पर योग प्रदर्शित करते हैं, तो फ़ाइल के हैश को एक कमांड के साथ सत्यापित करें जैसे:

sha256sum debian-9.8.0-amd64-netinst.iso

हस्ताक्षरित चेकसम सत्यापित करने के लिए GPG का उपयोग करना

इस उदाहरण में डेबियन टीम ने अपनी निजी कुंजी के साथ "SHA256SUMS" फ़ाइल पर हस्ताक्षर किए और इसे "SHA256SUMS.sign" फ़ाइल में सहेजा। इसके साथ हस्ताक्षर सत्यापित करें:

gpg --verify SHA256SUMS.sign SHA256SUMS

आपको यह संदेश प्राप्त होगा:

gpg: Signature made Sun 17 Feb 2019 05:10:29 PM EET
gpg: using RSA key DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Can't check signature: No public key

इसका मतलब है कि आपके कंप्यूटर पर सार्वजनिक कुंजी नहीं है, जो सामान्य है। आपको इसे कीसर्वर से आयात करना होगा।

gpg --keyserver keyring.debian.org --recv-keys DF9B9C49EAA9298432589D76DA87E80D6294BE9B

यदि कोई की-सर्वर डाउन है, तो आप किसी वैकल्पिक सर्वर का उपयोग कर सकते हैं। उदाहरण के लिए, आप keyring.debian.org . को बदल सकते हैं keyserver.ubuntu.com . के साथ ।

लेकिन आप कैसे जानते हैं कि यह कुंजी वैध है? दुर्भाग्य से, पूरी तरह से निश्चित होने के लिए, आपको वेब ऑफ़ ट्रस्ट नामक कुछ बनाने की आवश्यकता होगी। जाहिर है, आपके पास इस बिंदु पर नहीं है। लेकिन कुछ चीजें हैं जो आप कर सकते हैं।

Google कुंजी का फ़िंगरप्रिंट (DF9B9C49EAA9298432589D76DA87E80D6294BE9B)। यदि आपको कुछ नहीं मिलता है, तो Google को केवल अंतिम आठ वर्ण (6294BE9B) आज़माएं। इसी तरह के सॉफ़्टवेयर के संबंध में कई वेबसाइटों पर एक वैध कुंजी का उल्लेख किया जाएगा। इसके अलावा, पोस्ट आमतौर पर वर्षों तक फैले रहेंगे क्योंकि सुरक्षित रूप से संरक्षित कुंजी का उपयोग लंबे समय तक किया जाएगा।

यदि आप वास्तव में पागल हैं, तो एक बिटटोरेंट छवि डाउनलोड करें और फिर चेकसम और हस्ताक्षर सत्यापित करें। जिस तरह से टॉरेंट काम करता है, सैकड़ों अलग-अलग उपयोगकर्ताओं द्वारा अपलोड की गई फ़ाइलों को बदलना असंभव है। इसके अलावा, बिटटोरेंट के पास डाउनलोड किए गए डेटा के हर हिस्से की अखंडता को सत्यापित करने के लिए स्वयं का तंत्र भी है।

अब जब आपके पास सार्वजनिक कुंजी है, तो आप अंत में हस्ताक्षर सत्यापित कर सकते हैं:

gpg --verify SHA256SUMS.sign SHA256SUMS

डिजिटल हस्ताक्षर के साथ लिनक्स सॉफ्टवेयर की प्रामाणिकता को कैसे सत्यापित करें

यदि आप "अच्छे हस्ताक्षर" देखते हैं, तो इसका मतलब है कि सब कुछ चेक आउट हो गया है। चेतावनी के बारे में चिंता न करें-यह सामान्य है क्योंकि, जैसा कि बताया गया है, आपके पास सार्वजनिक कुंजी के भरोसे का कोई स्थापित वेब नहीं है।

निष्कर्ष

जैसा कि आप पहले से ही जानते हैं, इंटरनेट पर कुछ भी निश्चित नहीं है। लेकिन एहतियाती उपाय करना निश्चित रूप से सुरक्षित है, और आपके द्वारा डाउनलोड की जाने वाली फ़ाइलों के डिजिटल हस्ताक्षर सत्यापित करने से आपको दुर्भावनापूर्ण सॉफ़्टवेयर से बचने में मदद मिल सकती है। कई बार जब उपयोगकर्ताओं ने पिछले दरवाजे से ऑपरेटिंग सिस्टम, या बिटकॉइन वॉलेट सॉफ़्टवेयर डाउनलोड किया होता है, तो वे हस्ताक्षर की जांच करने पर परेशानी से बच सकते थे, क्योंकि उनमें छेड़छाड़ नहीं की गई थी।


  1. NTP सर्वर के साथ Linux समय को कैसे सिंक करें

    कंप्यूटर घड़ियां सही नहीं हैं। कुछ दिनों, हफ्तों या महीनों को देखते हुए, वे बहाव करते हैं और वास्तविक समय दिखाना बंद कर देते हैं। सीधे शब्दों में कहें, उनके बहाव के बाद, वे इसे 10:30 दिखा सकते हैं, जबकि वास्तव में यह 10:33 है। पुराने कंप्यूटरों पर समय-समय पर कंप्यूटर घड़ी को मैन्युअल रूप से समायोजित

  1. Linux में GPG कुंजियाँ कैसे उत्पन्न करें

    क्या आपके पास ऐसी फ़ाइलें या संदेश हैं जिन्हें आप छिपा कर रखना चाहते हैं? उन्हें सुरक्षित रखने के लिए, आपको GPG एन्क्रिप्शन कुंजियों का उपयोग करना चाहिए। यदि आप Linux चला रहे हैं, तो GPG का उपयोग करके अपनी फ़ाइलों को एन्क्रिप्ट करना तब तक आसान है जब तक आपके पास GnuPG स्थापित है। यहां बताया गया है क

  1. Microsoft OneDrive को Linux के साथ कैसे सिंक करें

    कभी-कभी हाल ही में उचित उत्पादों का उपयोग करना आवश्यक हो सकता है। ओपन सोर्स के प्रति उत्साही लोग क्लाउड-आधारित स्टोरेज सुविधा को पसंद करेंगे, लेकिन तथ्य यह है कि Google, Amazon, Dropbox और Microsoft जैसी कंपनियों ने क्लाउड स्टोरेज मार्केट पर कब्जा कर लिया है। वे विश्वसनीय उत्पादों को मुफ्त में पेश क