हर बार जब आप इंटरनेट से कोई प्रोग्राम डाउनलोड करते हैं, तो आपको डेवलपर पर भरोसा करना होगा कि यह दुर्भावनापूर्ण नहीं है। उसके आसपास कोई रास्ता नहीं है। लेकिन यह कोई समस्या नहीं है, आमतौर पर, विशेष रूप से जाने-माने सॉफ़्टवेयर और डेवलपर्स के साथ।
हालाँकि, सॉफ़्टवेयर होस्ट करने वाली वेबसाइटें अधिक असुरक्षित हैं। हमलावर किसी वेबसाइट की सुरक्षा को नष्ट कर सकते हैं और प्रोग्राम को अपने स्वयं के दुर्भावनापूर्ण संस्करण से बदल सकते हैं। यह बिल्कुल मूल जैसा दिखता है और काम करता है, सिवाय इसके कि इसमें पिछले दरवाजे को डाला गया है। इस पिछले दरवाजे से, हमलावर आपके सामान्य दिन-प्रति-दिन कंप्यूटिंग के विभिन्न हिस्सों को नियंत्रित कर सकते हैं। आपका कंप्यूटर या तो बॉटनेट में डाला गया है, या इससे भी बदतर, उपयोगिता तब तक प्रतीक्षा करती है जब तक आप अपने क्रेडिट/डेबिट कार्ड का उपयोग नहीं करते हैं और इसकी साख चुरा लेते हैं। ऑपरेटिंग सिस्टम, क्रिप्टोकुरेंसी वॉलेट, या इसी तरह के महत्वपूर्ण सॉफ़्टवेयर डाउनलोड करते समय आपको विशेष रूप से सावधान रहना चाहिए।
डिजिटल हस्ताक्षर दिन बचा सकते हैं
सॉफ्टवेयर लेखक अपने उत्पादों पर हस्ताक्षर कर सकते हैं। जब तक कोई हमलावर उनकी निजी कुंजी नहीं चुरा सकता, तब तक कोई ज्ञात तरीका नहीं है कि कोई इस हस्ताक्षर को जाली बना सकता है। ऐसे कई मामले हैं जहां हजारों उपयोगकर्ताओं ने दुर्भावनापूर्ण प्रोग्राम डाउनलोड किए हैं, और लगभग हर मामले में, यदि उन्होंने डिजिटल हस्ताक्षर की जांच की होती, तो उन्होंने देखा होगा कि वे अमान्य थे, इस प्रकार स्थिति से बचते रहे। एक संवेदनशील वेबसाइट पर सॉफ़्टवेयर को बदलना अपेक्षाकृत आसान है लेकिन एक निजी कुंजी को चुराना अविश्वसनीय रूप से कठिन है जो ठीक से संग्रहीत और इंटरनेट एक्सेस से अलग है।
आप यहां डिजिटल हस्ताक्षर के बारे में और अधिक पढ़ सकते हैं। यह आलेख उसी बात पर चर्चा करता है, सिवाय इसके कि आप डाउनलोड को मान्य करने के लिए Windows उपयोगिताओं का उपयोग करेंगे।
डिजिटल हस्ताक्षर सत्यापित करने के लिए Gpg4win का उपयोग कैसे करें
इस पेज पर जाएं और Gpg4win को डाउनलोड और इंस्टॉल करें। स्मार्ट लोग खुद से पूछेंगे, "लेकिन मुझे कैसे पता चलेगा कि यह वैध है?" और यह एक अच्छा सवाल है। अगर इसे तोड़ा जाता है, तो बाद के सभी कदम बेकार हो जाएंगे।
सौभाग्य से, डेवलपर को अपने सॉफ़्टवेयर को एक प्रमाणपत्र प्राधिकारी द्वारा हस्ताक्षरित करवाने के लिए सभी परेशानी का सामना करना पड़ा। और वह अपनी वेबसाइट पर अपने कार्यक्रम को सत्यापित करने के चरणों का विवरण देता है। यद्यपि वैधता की जांच के लिए समान क्रिप्टोग्राफी का उपयोग किया जाता है, समग्र विधि अलग है। इसके लिए डिजिटल प्रमाणपत्रों का उपयोग किया जाता है।
फ़ाइल चेकसम सत्यापित करें
मान लीजिए कि आप बिटकॉइन कोर वॉलेट डाउनलोड करना चाहते हैं। x64 विंडोज निष्पादन योग्य डाउनलोड करें (exe, ज़िप नहीं)। बाद में, "SHA256SUMS.asc" फ़ाइल डाउनलोड करने के लिए "रिलीज़ हस्ताक्षर सत्यापित करें" पर क्लिक करें। सेटअप फ़ाइल के हैश को सत्यापित करने के लिए पहला कदम है। आप यहां हैश के बारे में अधिक पढ़ सकते हैं।
अपने डाउनलोड फ़ोल्डर में जाएं, और Gpg4win स्थापित होने के साथ, अब आप किसी फ़ाइल पर राइट-क्लिक कर सकते हैं, और एक नया संदर्भ मेनू दिखाई देगा। बिटकॉइन सेटअप फ़ाइल (आपके द्वारा डाउनलोड किया गया exe) पर राइट-क्लिक करें, और नीचे दिए गए चित्र की तरह "अधिक GpgEX विकल्प -> चेकसम बनाएं" चुनें।
जनरेट किया गया “sha256sum.txt” और “SHA256SUMS.asc” जिसे आपने डाउनलोड किया है, दोनों को खोलें। SHA256 चेकसम की तुलना करें। वे एक आदर्श मैच होना चाहिए।
चेकसम को सूचीबद्ध करने वाली फ़ाइल के हस्ताक्षर जांचें
जबकि आपने उसी वेबसाइट से एक सेटअप फ़ाइल और चेकसम की सूची डाउनलोड की है, यदि कोई हमलावर सेटअप फ़ाइल को बदल देता है, तो वह आसानी से चेकसम की सूची को भी बदल सकता है। हालाँकि, वह जो नहीं कर सकता, वह एक हस्ताक्षर है। इसे ज्ञात (वैध) सार्वजनिक कुंजी द्वारा मान्य किया जा सकता है। सबसे पहले, आपको यह कुंजी डाउनलोड करनी होगी।
निम्नलिखित चित्र एक हस्ताक्षर जैसा दिखता है।
यह एक इनलाइन हस्ताक्षर है (उसी फ़ाइल में शामिल है जो इसे मान्य करता है)। कभी-कभी इसे अलग कर दिया जाएगा, एक अलग फ़ाइल में शामिल किया जाएगा। यदि आप इस टेक्स्ट फ़ाइल में केवल एक अक्षर बदलते हैं, तो हस्ताक्षर अमान्य हो जाता है। यह जानने का एक तरीका है कि डेवलपर ने इन सटीक, विशिष्ट सामग्रियों को सही चेकसम के साथ अनुमोदित और हस्ताक्षरित किया है।
डेवलपर की सार्वजनिक कुंजी आयात करें
आपके पास बिटकॉइन के डाउनलोड पेज में "बिटकॉइन कोर रिलीज साइनिंग कीज" के तहत डाउनलोड के लिए सार्वजनिक कुंजी उपलब्ध है। एहतियात के तौर पर, आप उन्हें दूसरे स्रोत से डाउनलोड कर सकते हैं। यदि किसी हमलावर ने वैध कुंजियों को अपने साथ बदल दिया है, तो संभावना है कि हम उन सभी स्थानों पर सही कुंजियाँ (और फ़िंगरप्रिंट) पाएंगे जहाँ उन्हें पोस्ट किया गया है या चर्चा की गई है।
"SHA256SUMS.asc" पर राइट-क्लिक करें और "डिक्रिप्ट और सत्यापित करें" चुनें। कार्यक्रम आपको बताएगा कि आपके पास अभी तक सार्वजनिक कुंजी नहीं है। "खोज" पर क्लिक करें।
खोज में कुछ समय लग सकता है। स्ट्रिंग को "ढूंढें" फ़ील्ड में नोट करें।
आप इसे कॉपी कर सकते हैं और Google में पेस्ट करके देख सकते हैं कि क्या इस सार्वजनिक कुंजी फ़िंगरप्रिंट पर वैध फ़ोरम थ्रेड्स/वेबसाइटों आदि पर चर्चा की गई है। जितने अधिक स्थान आपको मिलेंगे, उतना ही आप निश्चित हो सकते हैं कि यह इच्छित स्वामी का है।पी>
कुंजी पर क्लिक करें और फिर इसे आयात करें। यदि आप नहीं जानते कि आप इसे अभी कैसे करना चाहते हैं या नहीं करना चाहते हैं, तो आप "नहीं" पर क्लिक कर सकते हैं (कुंजी को प्रमाणित करने के लिए उपाय करें)।
अंत में, "ऑडिट लॉग दिखाएं" पर क्लिक करें।
आपको वह टेक्स्ट दिखाई देना चाहिए जिसे अगले चित्र में हाइलाइट किया गया है, "अच्छे हस्ताक्षर।"
“SHA256SUMS.asc” में केवल एक अक्षर को बदलने का प्रयास करें और आपको वह मिलेगा जो निम्न चित्र में दर्शाया गया है।
निष्कर्ष
कुछ डेवलपर्स आपको यह जांचने की संभावना देते हैं कि उनका सॉफ़्टवेयर उनसे आता है। लेकिन आमतौर पर संवेदनशील डेटा से निपटने वाले या बहुत महत्वपूर्ण प्रोग्राम आपको यह विकल्प प्रदान करेंगे। इसका उपयोग करें और यह आपको किसी दिन परेशानी से बचा सकता है।