Як перевірити справжність програмного забезпечення Windows за допомогою цифрових підписів

Щоразу, коли ви завантажуєте програму з Інтернету, ви змушені довіряти розробнику, що це не шкідливе ПЗ. Іншого шляху немає. Але зазвичай це не проблема, особливо з відомими розробниками та програмним забезпеченням.

Однак веб-сайти, на яких розміщено програмне забезпечення, більш уразливі до атак. Зловмисники можуть підірвати безпеку веб-сайту та замінити програми їх шкідливими версіями. Шкідлива версія виглядає та функціонує так само, як оригінальна, за винятком того, що в неї вставлено бекдор . За допомогою цього бекдора зловмисник може контролювати різні частини комп’ютера. Ваш комп’ютер буде вставлено в ботнет або ще гірше, зловмисне програмне забезпечення чекатиме, поки ви скористаєтеся своєю кредитною/дебетовою карткою, і вкраде вашу інформацію для входу. Ви повинні бути особливо обережними під час завантаження важливого програмного забезпечення, наприклад операційних систем, криптовалютних гаманців або іншого подібного програмного забезпечення.

Інструкції щодо автентифікації програмного забезпечення Windows за допомогою цифрових підписів

• Цифрові підписи можуть захистити вас у сучасний час
• Як використовувати Gpg4win для перевірки цифрових підписів
• Підтвердьте контрольну суму файлу
• Перевірте підпис файлу списку контрольних сум
• Введіть відкритий ключ розробника

Цифрові підписи можуть захистити вас у сучасний час

Автори програмного забезпечення можуть «підписувати» свої продукти. Якщо зловмисник не може викрасти закритий ключ автора програмного забезпечення, ніхто не зможе підробити цей підпис. Є багато випадків, коли тисячі користувачів завантажували шкідливі програми, і майже в кожному випадку, якби вони перевіряли цифрові підписи, вони б помітили, що вони недійсні, і цієї ситуації можна було б уникнути. Відносно легко замінити програмне забезпечення на вразливому веб-сайті, але надзвичайно важко викрасти закритий ключ, який належним чином зберігається та ізольований від доступу до Інтернету.

Детальніше про цифрові підписи ви можете прочитати в статті: Як перевірити справжність програмного забезпечення Linux за допомогою цифрових підписів . У цій статті обговорюється те саме, за винятком того, що ви використовуватимете утиліти Windows для автентифікації завантажень.

Як використовувати Gpg4win для перевірки цифрових підписів

Завантажте та встановіть Gpg4win . Розумні люди будуть дивуватися, як точно знати, що це програмне забезпечення є законним. Це гарне запитання, і якщо ця сторінка завантаження не працює, усі наступні кроки будуть марними.

На щастя, розробник Gpg4win пройшов через усі труднощі, щоб отримати підпис свого програмного забезпечення в центрі сертифікації, і детально описує кроки для перевірки своєї програми на веб-сайті. Хоча для перевірки дійсності використовується та сама криптографія, загальний метод буде іншим. Для цього використовуються цифрові сертифікати.

Підтвердьте контрольну суму файлу

Припустімо, ви хочете завантажити гаманець Bitcoin Core . Завантажте виконуваний файл Windows x64 ( exe , а не zip ). Потім натисніть « Перевірити підписи випуску », щоб завантажити файл SHA256SUMS.asc. Першим кроком є ​​перевірка хешу інсталяційного файлу.

Перейдіть до папки завантажень і, встановивши Gpg4win, тепер ви можете клацнути правою кнопкою миші на файлі, і з’явиться нове контекстне меню. Клацніть правою кнопкою миші на інсталяційному файлі Bitcoin ( exe , який ви завантажили) і виберіть Додаткові параметри GpgEX > Створити контрольні суми , як на зображенні нижче.

Відкрийте створений файл sha256sum.txt і завантажений файл SHA256SUMS.asc . Порівняйте контрольну суму SHA256, і вони повинні бути однаковими.

Перевірте підпис файлу списку контрольних сум

Незважаючи на те, що ви щойно завантажили файл налаштування та список контрольних сум з того самого веб-сайту, якщо зловмисник замінить файл налаштування, він також може легко замінити список контрольних сум. Однак хакери не можуть підробити підписи. Це можна підтвердити відомим (легітимним) відкритим ключем. Спочатку вам потрібно завантажити цей ключ.

Зображення підпису виглядає так:

Це вбудований підпис (включений у той самий файл, який перевіряє). Іноді цей підпис буде відокремлено та розміщено в окремому файлі. Якщо змінити лише одну літеру в цьому текстовому файлі, підпис більше не буде дійсним. Це спосіб точно знати, що розробник схвалив і підписав ці точні, конкретні активи з правильною контрольною сумою.

Введіть відкритий ключ розробника

У вас є відкритий ключ, доступний для завантаження в розділі « Ключі підпису випуску Bitcoin Core » на сторінці завантаження Bitcoin. З міркувань безпеки ви можете завантажити їх з іншого джерела. Якщо зловмисник замінить законні ключі своїм особистим ключем, ви знайдете правильні ключі (і відбитки пальців) у всіх інших місцях, де вони були опубліковані чи обговорені.

Клацніть правою кнопкою миші SHA256SUMS.asc і виберіть Розшифрувати та перевірити . Програма повідомить вам, що у вас немає відкритого ключа. Натисніть Пошук.

Пошук може тривати деякий час. Зверніть увагу на рядок у полі Знайти.

Ви можете скопіювати та вставити в Google, щоб побачити відбитки відкритих ключів, які обговорювалися на законних веб-сайтах або форумах. Чим більше місць ви знайдете цей відкритий ключ, тим більше ви можете бути впевнені, що він належить законному власнику.

Натисніть на ключ, а потім введіть його. Ви можете натиснути «Ні» в наступному запиті, який ви отримаєте (вжити заходів для підтвердження ключа), якщо ви не знаєте, як або не хочете робити це прямо зараз.

Нарешті натисніть «Показати журнал аудиту» .

Ви побачите текст підпису Good , виділений на наступному зображенні.

Спробуйте змінити лише одну літеру в SHA256SUMS.asc, і ви отримаєте результат, як показано на наступному зображенні.

Дуже небагато розробників дають вам можливість перевірити, чи походить програмне забезпечення від них. Але зазвичай програми, які обробляють конфіденційні або дуже важливі дані, надають вам цю можливість. Скористайтеся опцією перевірки цифрового підпису, і це може врятувати вас від проблем одного дня.

Сподіваюся, ви успішні.