Tutoriales

Cómo verificar la firma PGP del software descargado en Linux

La instalación de software en un sistema Linux suele ser un viaje sencillo. En la mayoría de los casos, querrá un administrador de paquetes como apt, dnf o. usar Pacman para instalarlo de forma segura desde los repositorios de su distribución.

En algunos casos, sin embargo, es posible que un paquete de software no esté en el repositorio oficial de la distribución. En tales escenarios, uno se ve obligado a descargarlo del sitio web del proveedor. Pero, ¿qué tan seguro está de que el paquete de software no ha sido manipulado? Ésta es la pregunta que intentamos responder. En esta guía, nos centraremos en cómo verificar la firma PGP de un paquete de software descargado en Linux.

PGP (Muy buena privacidad) es una aplicación criptográfica para cifrar y firmar archivos. Por ejemplo, la mayoría de los autores de software utilizan el programa PGP para firmar sus aplicaciones. GPG (Guardia de privacidad GNU).

GPG es una implementación de criptografía de OpenPGP y permite la transmisión segura de datos y también se puede utilizar para verificar la integridad de la fuente. Del mismo modo, puede utilizar GPG para comprobar la autenticidad del software descargado.

La verificación de la integridad del software descargado es un proceso de 5 pasos que se realiza en el siguiente orden.

  • Descarga de la clave pública del autor del software.
  • Verificación de la huella dactilar de la llave.
  • Importe la clave pública.
  • Descargue el archivo de firma del software.
  • Verifique el archivo de firma.

En esta guía usamos Tixati – un programa de intercambio de archivos de igual a igual – como ejemplo para demostrarlo. Ya hemos descargado el paquete Debian de la página de descarga oficial.

Verifique la firma PGP de Tixati

De buenas a primeras, descargaremos la clave pública del autor, que se utiliza para verificar las publicaciones. El enlace a la clave se encuentra en la parte inferior de la página de descarga de Tixati.

Llave Tixati GPG

En la línea de comando, obtenga la clave pública usando el comando wget como se muestra.

$ wget https://www.tixati.com/tixati.key

Verifique la huella digital de la clave pública

Una vez descargada la clave, el siguiente paso es verificar la huella digital de la clave pública con el comando gpg como se muestra.

$ gpg --show-keys tixati.key

La salida resaltada es la huella digital de clave pública.

Verifique la huella digital de la clave pública
Verifique la huella digital de la clave pública

Importar la clave GPG

Después de verificar la huella digital pública de la clave, importamos la clave GPG. Esto solo debe hacerse una vez.

$ gpg --import tixati.key
Importar clave GPG
Importar clave GPG

Descargue el archivo de firma del software

A continuación, vamos a descargar el archivo de firma PGP que está justo al lado del paquete Debian como se indica. El archivo de firma lleva el .asc Extensión de archivo.

Descargue el archivo de firma PGP
Descargue el archivo de firma PGP
$ wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc
Descargue el archivo de firma PGP
Descargue el archivo de firma PGP

Verifique el archivo de firma

Finalmente, verifique la integridad del software usando el archivo de firma y el paquete Debian como se muestra.

$ gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb
Verifique el archivo de firma PGP
Verifique el archivo de firma PGP

La salida de la tercera línea confirma que el firma en este caso proviene del autor del software, Tixati Software Inc. La línea anterior proporciona la huella digital que coincide con la huella digital de la clave pública. Esta es la confirmación de la firma PGP del software.

Esperamos que esta guía le haya proporcionado información sobre cómo verificar el PGP de un paquete de software descargado en Linux.

Si valora lo que hacemos aquí en TecMint, aquí hay algunas cosas a considerar:

TecMint es el sitio comunitario más confiable y de más rápido crecimiento para todo tipo de artículos, guías y libros sobre Linux en Internet. ¡Millones de personas visitan TecMint! para navegar o buscar en los miles de artículos publicados disponibles GRATIS para todos.

Si le gusta lo que lee, recuerde comprarnos un café (o 2) como muestra de agradecimiento.

Apoyanos

Agradecemos su apoyo sin fin.

.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba