Kako provjeriti autentičnost Windows softvera pomoću digitalnih potpisa

Svaki put kada preuzmete program s interneta, prisiljeni ste vjerovati razvojnom programeru da to nije zlonamjerni softver. Nema drugog načina. No obično to nije problem, osobito kod poznatih programera i softvera.

Međutim, web stranice koje hostiraju softver su osjetljivije na napade. Napadači mogu potkopati sigurnost web stranice i zamijeniti programe njihovim zlonamjernim verzijama. Zlonamjerna verzija izgleda i funkcionira točno kao izvorna, osim što ima umetnuta stražnja vrata . Pomoću ovog backdoora napadač može kontrolirati različite dijelove računala. Vaše će računalo biti umetnuto u botnet ili još gore, malware će čekati dok ne upotrijebite svoju kreditnu/debitnu karticu i ukrasti vaše podatke za prijavu. Trebali biste biti posebno oprezni pri preuzimanju važnog softvera kao što su operativni sustavi, novčanici za kriptovalute ili drugi sličan softver.

Upute za provjeru autentičnosti Windows softvera pomoću digitalnih potpisa

• Digitalni potpisi vas mogu zaštititi u današnje vrijeme
• Kako koristiti Gpg4win za provjeru digitalnih potpisa
• Potvrdite kontrolni zbroj datoteke
• Provjerite potpis datoteke popisa kontrolnih zbrojeva
• Unesite javni ključ programera

Digitalni potpisi vas mogu zaštititi u današnje vrijeme

Autori softvera mogu "potpisati" svoje proizvode. Osim ako napadač ne može ukrasti privatni ključ autora softvera, nema načina da netko krivotvori ovaj potpis. Mnogo je slučajeva u kojima su tisuće korisnika preuzele zlonamjerne programe, au gotovo svakom slučaju, da su provjerili digitalne potpise, primijetili bi da su nevažeći i situacija bi se mogla izbjeći. Relativno je lako zamijeniti softver na ranjivoj web stranici, ali je izuzetno teško ukrasti privatni ključ koji je pravilno pohranjen i izoliran od pristupa Internetu.

Više o digitalnim potpisima možete pročitati u članku: Kako provjeriti autentičnost Linux softvera pomoću digitalnih potpisa . Ovaj članak govori o istoj stvari, osim što ćete koristiti Windows uslužne programe za provjeru autentičnosti preuzimanja.

Kako koristiti Gpg4win za provjeru digitalnih potpisa

Preuzmite i instalirajte Gpg4win . Pametni ljudi će se pitati kako sa sigurnošću znati je li ovaj softver legitiman. Ovo je dobro pitanje i ako ova stranica za preuzimanje ne radi, svi koraci koji slijede bit će uzaludni.

Srećom, razvojni programer Gpg4win prošao je kroz sve poteškoće da svoj softver potpiše certifikacijsko tijelo i detaljno opisuje korake za provjeru svog programa na web stranici. Iako se ista kriptografija koristi za provjeru valjanosti, cjelokupna metoda bit će drugačija. Za to se koriste digitalni certifikati.

Potvrdite kontrolni zbroj datoteke

Recimo da želite preuzeti Bitcoin Core novčanik . Preuzmite Windows x64 izvršnu datoteku ( exe , ne zip ). Zatim kliknite “ Provjeri potpise izdanja ” za preuzimanje datoteke SHA256SUMS.asc. Prvi korak je provjeriti hash datoteke za postavljanje.

Idite u mapu za preuzimanje i s instaliranim Gpg4winom, sada možete kliknuti desnom tipkom miša na datoteku i pojavit će se novi kontekstni izbornik. Desnom tipkom miša kliknite instalacijsku datoteku Bitcoina ( exe koju ste preuzeli) i odaberite More GpgEX Options > Create checks , kao na slici ispod.

Otvorite stvorenu datoteku sha256sum.txt i preuzetu datoteku SHA256SUMS.asc . Usporedite kontrolni zbroj SHA256 i trebali bi biti isti.

Provjerite potpis datoteke popisa kontrolnih zbrojeva

Iako ste upravo preuzeli datoteku za postavljanje i popis kontrolnih zbrojeva s iste web stranice, ako napadač zamijeni datoteku za postavljanje, lako može zamijeniti i popis kontrolnih zbrojeva. Međutim, hakeri ne mogu krivotvoriti potpise. To se može potvrditi poznatim (legitimnim) javnim ključem. Prvo morate preuzeti ovaj ključ.

Slika potpisa izgleda ovako:

Ovo je ugrađeni potpis (uključen u istu datoteku koju potvrđuje). Ponekad će ovaj potpis biti odvojen i smješten u zasebnu datoteku. Ako promijenite samo jedno slovo u ovoj tekstualnoj datoteci, potpis više neće biti valjan. Ovo je način da budete sigurni da je programer odobrio i potpisao ta točna, specifična sredstva s točnim kontrolnim zbrojem.

Unesite javni ključ programera

Imate javne ključeve dostupne za preuzimanje u odjeljku " Ključevi za potpisivanje izdanja Bitcoin Core " na stranici za preuzimanje Bitcoina. Kao mjeru opreza, možete ih preuzeti s drugog izvora. Ako napadač zamijeni legitimne ključeve svojim privatnim ključem, pronaći ćete ispravne ključeve (i otiske prstiju) na svim drugim mjestima gdje su objavljeni ili o kojima se raspravljalo.

Kliknite desnom tipkom miša na SHA256SUMS.asc i odaberite Dešifriraj i potvrdi . Program će vam reći da nemate javni ključ. Pritisnite Traži.

Pretraga može potrajati. Zabilježite niz u polju Traži.

Možete kopirati i zalijepiti u Google kako biste vidjeli otiske prstiju javnog ključa o kojima se raspravljalo na legitimnim web stranicama ili forumima. Što više mjesta pronađete ovaj javni ključ, to ćete sigurniji biti da pripada pravom vlasniku.

Kliknite na ključ i zatim ga unesite. Možete kliknuti Ne u sljedećem upitu koji dobijete (poduzmite mjere za potvrdu ključa), ako ne znate kako ili ne želite to sada učiniti.

Na kraju kliknite Prikaži dnevnik revizije .

Na sljedećoj slici vidjet ćete istaknuti tekst Dobar potpis .

Pokušajte promijeniti samo jedno slovo u SHA256SUMS.asc, i dobit ćete rezultat kao što je prikazano na sljedećoj slici.

Vrlo malo programera vam daje mogućnost da provjerite dolazi li softver od njih. Ali obično vam programi koji obrađuju osjetljive ili vrlo važne podatke daju ovu opciju. Koristite opciju provjere digitalnog potpisa i možda će vas jednog dana spasiti nevolja.

Nadam se da ste uspješni.