Kako preveriti pristnost programske opreme Windows z digitalnimi podpisi

Vsakič, ko prenesete program iz interneta, ste prisiljeni zaupati razvijalcu, da ne gre za zlonamerno programsko opremo. Ne gre drugače. Vendar običajno to ni problem, zlasti pri znanih razvijalcih in programski opremi.

Vendar so spletna mesta, ki gostijo programsko opremo, bolj ranljiva za napade. Napadalci lahko ogrozijo varnost spletne strani in zamenjajo programe z njihovimi zlonamernimi različicami. Zlonamerna različica izgleda in deluje natanko tako kot izvirnik, le da ima vstavljena zadnja vrata . S temi zadnjimi vrati lahko napadalec nadzoruje različne dele računalnika. Vaš računalnik bo vstavljen v botnet ali še huje, zlonamerna programska oprema bo počakala, dokler ne uporabite svoje kreditne/debetne kartice, in vam ukradla podatke za prijavo. Pri prenosu pomembne programske opreme, kot so operacijski sistemi, denarnice za kriptovalute ali druga podobna programska oprema, bodite še posebej previdni.

Navodila za preverjanje pristnosti programske opreme Windows z digitalnimi podpisi

• Digitalni podpisi vas lahko zaščitijo v današnjem času
• Kako uporabljati Gpg4win za preverjanje digitalnih podpisov
• Potrdite kontrolno vsoto datoteke
• Preverite podpis datoteke seznama kontrolnih vsot
• Vnesite javni ključ razvijalca

Digitalni podpisi vas lahko zaščitijo v današnjem času

Pisci programske opreme lahko "podpišejo" svoje izdelke. Razen če lahko napadalec ukrade zasebni ključ pisca programske opreme, ni možnosti, da bi nekdo ponaredil ta podpis. Veliko je primerov, ko je na tisoče uporabnikov preneslo zlonamerne programe in v skoraj vsakem primeru bi, če bi preverili digitalne podpise, opazili, da so neveljavni, in bi se lahko temu izognili. Relativno enostavno je zamenjati programsko opremo na ranljivem spletnem mestu, izjemno težko pa je ukrasti zasebni ključ, ki je pravilno shranjen in izoliran od dostopa do interneta.

Več o digitalnih podpisih si lahko preberete v članku: Kako preveriti pristnost programske opreme Linux z digitalnimi podpisi . Ta članek obravnava isto stvar, le da boste za preverjanje pristnosti prenosov uporabljali pripomočke Windows.

Kako uporabljati Gpg4win za preverjanje digitalnih podpisov

Prenesite in namestite Gpg4win . Pametni ljudje se bodo spraševali, kako zagotovo vedeti, da je ta programska oprema zakonita. To je dobro vprašanje in če ta stran za prenos ne deluje, bodo vsi naslednji koraki zaman.

Na srečo je razvijalec Gpg4win šel skozi vse težave, da je svojo programsko opremo podpisal certifikacijski organ, in podrobno opisuje korake za preverjanje svojega programa na spletni strani. Čeprav se za preverjanje veljavnosti uporablja ista kriptografija, bo celotna metoda drugačna. Za to se uporabljajo digitalna potrdila.

Potrdite kontrolno vsoto datoteke

Recimo, da želite prenesti denarnico Bitcoin Core . Prenesite izvedljivo datoteko Windows x64 ( exe , ne zip ). Nato kliknite » Preveri podpise izdaje «, da prenesete datoteko SHA256SUMS.asc. Prvi korak je preveriti zgoščenost namestitvene datoteke.

Pojdite v mapo za prenos in z nameščenim Gpg4win lahko zdaj z desno miškino tipko kliknete datoteko in prikaže se nov kontekstni meni. Desni klik na namestitveno datoteko Bitcoin ( exe , ki ste ga prenesli) in izberite Več možnosti GpgEX > Ustvari kontrolne vsote , kot na spodnji sliki.

Odprite ustvarjeno datoteko sha256sum.txt in preneseno datoteko SHA256SUMS.asc . Primerjajte kontrolno vsoto SHA256 in morali bi biti enaki.

Preverite podpis datoteke seznama kontrolnih vsot

Čeprav ste pravkar prenesli nastavitveno datoteko in seznam kontrolnih vsot z istega spletnega mesta, lahko napadalec, če zamenja nastavitveno datoteko, zlahka zamenja tudi seznam kontrolnih vsot. Vendar pa hekerji ne morejo ponarediti podpisov. To je mogoče potrditi z znanim (legitimnim) javnim ključem. Najprej morate prenesti ta ključ.

Slika podpisa izgleda takole:

To je vgrajeni podpis (vključen v isto datoteko, ki jo preverja). Včasih bo ta podpis ločen in postavljen v ločeno datoteko. Če spremenite samo eno črko v tej besedilni datoteki, podpis ne bo več veljaven. To je način, da zagotovo vemo, da je razvijalec odobril in podpisal ta natančna, specifična sredstva s pravilno kontrolno vsoto.

Vnesite javni ključ razvijalca

Javne ključe imate na voljo za prenos v razdelku » Bitcoin Core Release Signing Keys « na strani za prenos Bitcoina. Iz previdnosti jih lahko prenesete iz drugega vira. Če napadalec zamenja zakonite ključe s svojim zasebnim ključem, boste pravilne ključe (in prstne odtise) našli na vseh drugih lokacijah, kjer so bili objavljeni ali o njih razpravljali.

Desni klik na SHA256SUMS.asc in izberite Dešifriraj in preveri . Program vam bo povedal, da nimate javnega ključa. Kliknite Iskanje.

Iskanje lahko traja nekaj časa. Upoštevajte niz v polju Najdi.

Lahko kopirate in prilepite v Google, da vidite prstne odtise javnih ključev, o katerih so razpravljali na zakonitih spletnih mestih ali forumih. Na več mestih kot najdete ta javni ključ, bolj ste lahko prepričani, da pripada zakonitemu lastniku.

Kliknite na ključ in ga nato vnesite. V naslednjem pozivu, ki ga prejmete (izvedite ukrepe za potrditev ključa), lahko kliknete Ne, če tega zdaj ne veste, kako ali ne želite.

Na koncu kliknite Prikaži dnevnik nadzora .

Na naslednji sliki boste videli označeno besedilo dobrega podpisa .

Poskusite spremeniti samo eno črko v SHA256SUMS.asc in dobili boste rezultat, kot je prikazan na naslednji sliki.

Zelo malo razvijalcev vam omogoča, da preverite, ali programska oprema prihaja od njih. Toda običajno vam bodo programi, ki obravnavajo občutljive ali zelo pomembne podatke, dali to možnost. Uporabite možnost preverjanja digitalnega podpisa in morda vas bo nekega dne rešila težav.

Upam, da ste uspešni.