La instalación de software en un sistema Linux suele ser un viaje sencillo. En la mayoría de los casos, querrá un administrador de paquetes como apt, dnf o. usar Pacman para instalarlo de forma segura desde los repositorios de su distribución.
En algunos casos, sin embargo, es posible que un paquete de software no esté en el repositorio oficial de la distribución. En tales escenarios, uno se ve obligado a descargarlo del sitio web del proveedor. Pero, ¿qué tan seguro está de que el paquete de software no ha sido manipulado? Ésta es la pregunta que intentamos responder. En esta guía, nos centraremos en cómo verificar la firma PGP de un paquete de software descargado en Linux.
PGP (Muy buena privacidad) es una aplicación criptográfica para cifrar y firmar archivos. Por ejemplo, la mayoría de los autores de software utilizan el programa PGP para firmar sus aplicaciones. GPG (Guardia de privacidad GNU).
GPG es una implementación de criptografía de OpenPGP y permite la transmisión segura de datos y también se puede utilizar para verificar la integridad de la fuente. Del mismo modo, puede utilizar GPG para comprobar la autenticidad del software descargado.
La verificación de la integridad del software descargado es un proceso de 5 pasos que se realiza en el siguiente orden.
- Descarga de la clave pública del autor del software.
- Verificación de la huella dactilar de la llave.
- Importe la clave pública.
- Descargue el archivo de firma del software.
- Verifique el archivo de firma.
En esta guía usamos Tixati – un programa de intercambio de archivos de igual a igual – como ejemplo para demostrarlo. Ya hemos descargado el paquete Debian de la página de descarga oficial.
Tabla de Contenidos
Verifique la firma PGP de Tixati
De buenas a primeras, descargaremos la clave pública del autor, que se utiliza para verificar las publicaciones. El enlace a la clave se encuentra en la parte inferior de la página de descarga de Tixati.
En la línea de comando, obtenga la clave pública usando el comando wget como se muestra.
$ wget https://www.tixati.com/tixati.key
Verifique la huella digital de la clave pública
Una vez descargada la clave, el siguiente paso es verificar la huella digital de la clave pública con el comando gpg como se muestra.
$ gpg --show-keys tixati.key
La salida resaltada es la huella digital de clave pública.
Importar la clave GPG
Después de verificar la huella digital pública de la clave, importamos la clave GPG. Esto solo debe hacerse una vez.
$ gpg --import tixati.key
Descargue el archivo de firma del software
A continuación, vamos a descargar el archivo de firma PGP que está justo al lado del paquete Debian como se indica. El archivo de firma lleva el .asc Extensión de archivo.
$ wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc
Verifique el archivo de firma
Finalmente, verifique la integridad del software usando el archivo de firma y el paquete Debian como se muestra.
$ gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb
La salida de la tercera línea confirma que el firma en este caso proviene del autor del software, Tixati Software Inc. La línea anterior proporciona la huella digital que coincide con la huella digital de la clave pública. Esta es la confirmación de la firma PGP del software.
Esperamos que esta guía le haya proporcionado información sobre cómo verificar el PGP de un paquete de software descargado en Linux.
Si valora lo que hacemos aquí en TecMint, aquí hay algunas cosas a considerar:
TecMint es el sitio comunitario más confiable y de más rápido crecimiento para todo tipo de artículos, guías y libros sobre Linux en Internet. ¡Millones de personas visitan TecMint! para navegar o buscar en los miles de artículos publicados disponibles GRATIS para todos.
Si le gusta lo que lee, recuerde comprarnos un café (o 2) como muestra de agradecimiento.
Agradecemos su apoyo sin fin.
.
