GPG

Aláírás

Háromféleképp lehet aláírni egy fájlt GPG-vel, a --sign és a --clearsign elsősorban szövegfájlokhoz való. A --detach-sign külön aláírásfájlt hoz létre, az aláírt fájlt változatlanul hagyja. Ezáltal ellenőrizhetővé válik, változott-e a fájl (akár szándékos módosítás, akár átviteli hiba miatt), de az továbbra is használható marad.

$ gpg --full-generate-key
$ gpg --output document.pdf.asc --detach-sign document.pdf
$ gpg --verify document.pdf.asc document.pdf

Aláírt szoftver letöltése

Bármi, amit egy weboldalról letöltesz, lehet sérült vagy kompromittálódott. Futtatható programoknál elengedhetetlen az integritásuk ellenőrzése, és azért is ajánlott a disztró repójából letölteni dolgokat, mert ott ez automatikusan megtörténik.

Letöltöd a progit és az aláírását. (Természetesen TLS linkről.)

$ wget https://.../software
$ wget https://.../software.asc

Szükség van az aláíró publikus kulcsára, amit a fingerprintje alapján letöltesz egy kulcsszerverről. Ebben a lépésben meg kell győződnöd róla, hogy a kulcs frankó, és hogy megbízol-e benne. Ennek részeként megbízhatónak is jelölheted és aláírhatod a saját privát kulcsoddal (trust/sign), de ez nem kötelező. Ha az aláíró publikus kulcsa (vagy annak fingerprintje, ami végeredményben ugyanaz) arról a weboldalról származik, ahonnan a progi, akkor valójában nem lehet megbízni benne és nem alkalmas az autenticitás megállapítására (de az integritáséra igen). Elvileg több forrásból is ellenőrizni kéne a fingerprintet (utánakérdezni fórumon, IRC-n stb.) ahhoz, hogy megbízhass benne, de a gyakorlatban ezt nagyon kevesen teszik meg. Ez lenne a web of trust koncepció lényege: egyszer valamilyen módon meggyőződni róla, hogy egy kulcs valóban az aláíróhoz tartozik.

$ gpg --keyserver keys.openpgp.org --receive-keys ABC123stb
$ gpg --edit-key ABC123stb

Végül ellenőrzöd az aláírással a progit. (Elég eltérő fájlnév esetén megadni annak is a fájlnevét.) Ha nem jelölted megbízhatónak az aláíró publikus kulcsát, akkor meg fog jelenni egy figyelmeztetés: WARNING: This key is not certified with a trusted signature!

$ gpg --verify software.asc software

Egyebek

A GPG-t aláírás mellett titkosításra és autentikációra is lehet használni.

• GPG For Humans
• How to enable SSH access using a GPG key for authentication
• GitHub: Signing commits