Kā pārbaudīt Windows programmatūras autentiskumu, izmantojot ciparparakstus

Katru reizi, kad lejupielādējat programmu no interneta, esat spiests uzticēties izstrādātājam, ka tā nav ļaunprātīga programmatūra. Citādi nav. Taču parasti tā nav problēma, it īpaši ar slaveniem izstrādātājiem un programmatūru.

Tomēr vietnes, kurās tiek mitināta programmatūra, ir neaizsargātākas pret uzbrukumiem. Uzbrucēji var apdraudēt vietnes drošību un aizstāt programmas ar ļaunprātīgām to versijām. Ļaunprātīgā versija izskatās un darbojas tieši tāpat kā oriģinālā, izņemot to, ka tajā ir ievietotas aizmugures durvis . Izmantojot šīs aizmugures durvis, uzbrucējs var kontrolēt dažādas datora daļas. Jūsu dators tiks ievietots robottīklā vai, vēl ļaunāk, ļaunprogrammatūra gaidīs, līdz izmantosiet kredītkarti/debetkarti un nozagsit jūsu pieteikšanās informāciju. Jums jābūt īpaši uzmanīgam, lejupielādējot svarīgu programmatūru, piemēram, operētājsistēmas, kriptovalūtas makus vai citu līdzīgu programmatūru.

Norādījumi Windows programmatūras autentificēšanai, izmantojot ciparparakstus

• Mūsdienu digitālie paraksti var jūs aizsargāt
• Kā izmantot Gpg4win, lai pārbaudītu ciparparakstus
• Apstipriniet faila kontrolsummu
• Pārbaudiet kontrolsummu saraksta faila parakstu
• Ievadiet izstrādātāja publisko atslēgu

Mūsdienu digitālie paraksti var jūs aizsargāt

Programmatūras autori var “parakstīt” savus produktus. Ja vien uzbrucējs nevar nozagt programmatūras rakstītāja privāto atslēgu, kāds nevar viltot šo parakstu. Ir daudz gadījumu, kad tūkstošiem lietotāju ir lejupielādējuši kaitīgās programmas, un gandrīz katrā gadījumā, ja viņi pārbaudītu ciparparakstus, viņi būtu pamanījuši, ka tie ir nederīgi un no situācijas varēja izvairīties. Ir salīdzinoši viegli nomainīt programmatūru neaizsargātā vietnē, bet ārkārtīgi grūti nozagt privāto atslēgu, kas ir pareizi glabāta un izolēta no interneta piekļuves.

Vairāk par ciparparakstiem varat lasīt rakstā: Kā pārbaudīt Linux programmatūras autentiskumu, izmantojot ciparparakstus . Šajā rakstā ir aplūkota tā pati lieta, izņemot to, ka lejupielāžu autentificēšanai izmantosit Windows utilītas.

Kā izmantot Gpg4win, lai pārbaudītu ciparparakstus

Lejupielādējiet un instalējiet Gpg4win . Gudri cilvēki domās, kā droši zināt, ka šī programmatūra ir likumīga. Šis ir labs jautājums, un, ja šī lejupielādes lapa ir bojāta, visas turpmākās darbības būs veltīgas.

Par laimi izstrādātājs Gpg4win ir izgājis cauri visām grūtībām, lai panāktu, ka sertifikācijas iestāde paraksta savu programmatūru, un sīki izklāsta darbības, lai vietnē pārbaudītu savu programmu. Lai gan derīguma pārbaudei tiek izmantota viena un tā pati kriptogrāfija, kopējā metode būs atšķirīga. Šim nolūkam tiek izmantoti digitālie sertifikāti.

Apstipriniet faila kontrolsummu

Pieņemsim, ka vēlaties lejupielādēt Bitcoin Core maku . Lejupielādējiet Windows x64 izpildāmo failu ( exe , nevis zip ). Pēc tam noklikšķiniet uz “ Pārbaudīt izlaiduma parakstus ”, lai lejupielādētu failu SHA256SUMS.asc. Pirmais solis ir pārbaudīt iestatīšanas faila jaucējkodu.

Dodieties uz lejupielādes mapi un pēc Gpg4win instalēšanas tagad varat ar peles labo pogu noklikšķināt uz faila, un parādīsies jauna konteksta izvēlne. Ar peles labo pogu noklikšķiniet uz Bitcoin instalācijas faila ( jūs esat lejupielādējis exe ) un atlasiet Vairāk GpgEX opcijas> Izveidot kontrolsummas , kā parādīts zemāk esošajā attēlā.

Atveriet gan izveidotos sha256sum.txt , gan lejupielādētos SHA256SUMS.asc failus. Salīdziniet SHA256 kontrolsummu, un tām jābūt vienādām.

Pārbaudiet kontrolsummu saraksta faila parakstu

Pat ja jūs tikko lejupielādējāt iestatīšanas failu un kontrolsummu sarakstu no tās pašas vietnes, ja uzbrucējs aizstāj iestatīšanas failu, viņš var viegli aizstāt arī kontrolsummu sarakstu. Tomēr hakeri nevar viltot parakstus. To var apstiprināt ar zināmu (leģitīmu) publisko atslēgu. Pirmkārt, jums ir jālejupielādē šī atslēga.

Paraksta attēls izskatās šādi:

Šis ir iekļauts paraksts (iekļauts tajā pašā failā, ko tas apstiprina). Dažreiz šis paraksts tiks atdalīts un ievietots atsevišķā failā. Ja šajā teksta failā maināt tikai vienu burtu, paraksts vairs nebūs derīgs. Tas ir veids, kā droši zināt, ka izstrādātājs ir apstiprinājis un parakstījis šos precīzos, konkrētos līdzekļus ar pareizo kontrolsummu.

Ievadiet izstrādātāja publisko atslēgu

Publiskās atslēgas ir pieejamas lejupielādei Bitcoin lejupielādes lapas sadaļā Bitcoin Core Release Signing Keys . Piesardzības nolūkos varat tos lejupielādēt no cita avota. Ja uzbrucējs aizvieto likumīgās atslēgas ar savu privāto atslēgu, jūs atradīsit pareizās atslēgas (un pirkstu nospiedumus) visās pārējās vietās, kur tās tika publicētas vai apspriestas.

Ar peles labo pogu noklikšķiniet uz SHA256SUMS.asc un atlasiet Atšifrēt un pārbaudīt . Programma jums pateiks, ka jums nav publiskās atslēgas. Noklikšķiniet uz Meklēt.

Meklēšana var aizņemt kādu laiku. Ievērojiet virkni laukā Atrast.

Varat kopēt un ielīmēt Google tīklā, lai skatītu publiskās atslēgas pirkstu nospiedumus, kas ir apspriesti likumīgās vietnēs vai forumos. Jo vairāk vietās atrodat šo publisko atslēgu, jo drošāk varat būt, ka tā pieder likumīgajam īpašniekam.

Noklikšķiniet uz atslēgas un pēc tam ievadiet to. Nākamajā uzvednē varat noklikšķināt uz Nē (veiciet pasākumus, lai apstiprinātu atslēgu), ja nezināt, kā vai nevēlaties to izdarīt tieši tagad.

Visbeidzot noklikšķiniet uz Rādīt audita žurnālu .

Nākamajā attēlā redzēsit izceltu labo paraksta tekstu .

Mēģiniet mainīt tikai vienu burtu SHA256SUMS.asc, un jūs iegūsit rezultātu, kā parādīts nākamajā attēlā.

Tikai daži izstrādātāji sniedz jums iespēju pārbaudīt, vai programmatūra nāk no viņiem. Bet parasti programmas, kas apstrādā sensitīvus vai ļoti svarīgus datus, nodrošinās šo iespēju. Izmantojiet ciparparaksta pārbaudes opciju, un tā kādu dienu varētu paglābt jūs no nepatikšanām.

Ceru, ka jums veiksies.