En ce qui concerne l'installation de logiciels sur un système Linux, le processus est généralement simple. La plupart du temps, vous comptez sur un gestionnaire de packages comme APT, DNF ou PACMAN pour installer des logiciels en toute sécurité à partir des référentiels de votre distribution.

Cependant, il existe des cas où le logiciel souhaité n'est pas disponible dans le référentiel officiel de votre distribution Linux. Dans de telles situations, vous devrez peut-être télécharger le logiciel directement à partir du site Web du fournisseur. Mais comment pouvez-vous être certain que le fichier téléchargé n'a pas été modifié ou compromis? C'est exactement ce que nous allons explorer. Ce guide vous guidera à travers les étapes pour vérifier la signature PGP d'un progiciel téléchargé dans Linux.

PGP ( assez bonne confidentialité ) est un outil cryptographique utilisé pour la signature et le cryptage des fichiers. De nombreux développeurs de logiciels utilisent des outils PGP comme GPG ( GNU Privacy Guard ) pour signer leurs versions de logiciels.

GPG , qui met en ?uvre la norme OpenPGP , permet une transmission de données sécurisée et aide également à confirmer l'intégrité d'une source. De même, vous pouvez utiliser GPG pour vous assurer que le logiciel que vous avez téléchargé n'a pas été falsifié.

Le processus de vérification comprend cinq étapes principales:

• Téléchargez la clé publique du développeur de logiciels.
• Vérifiez l'empreinte digitale de la clé publique.
• Importez la clé publique dans votre clés.
• Téléchargez le fichier de signature du logiciel.
• Utilisez GPG pour vérifier la signature par rapport au package téléchargé.

Pour illustrer ce processus, nous utiliserons Tixati , une application de partage de fichiers entre pairs, par exemple. Nous avons déjà téléchargé le package Debian sur le site officiel de Tixati.

Vérification de la signature PGP de Tixati

Tout d'abord, nous devons télécharger la clé publique utilisée par le développeur pour signer le logiciel. Cette clé est généralement disponible sur la page de téléchargement officielle du logiciel.

Utilisez la commande wget dans votre terminal pour récupérer la clé publique:

 <code>$ wget https://www.tixati.com/tixati.key</code>

Vérifiez l'empreinte digitale de la clé publique

Après avoir téléchargé la clé, l'étape suivante consiste à examiner ses empreintes digitales à l'aide de la commande GPG :

 <code>$ gpg --show-keys tixati.key</code>

L'empreinte digitale sera affichée dans la sortie, comme indiqué ci-dessous.

Importer la clé GPG

Une fois l'empreinte digitale vérifiée, importez la clé dans votre clés GPG. Il s'agit d'une exigence unique.

 <code>$ gpg --import tixati.key</code> 

Télécharger le fichier de signature du logiciel

Maintenant, téléchargez le fichier de signature PGP correspondant pour le progiciel. Il est souvent situé à c?té du fichier logiciel et se termine par une extension .asc .

Exécutez la commande suivante pour télécharger la signature:

 <code>$ wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc</code> 

Vérifiez la signature contre le package

Enfin, vérifiez la signature à l'aide du fichier .asc téléchargé et du package Debian lui-même:

 <code>$ gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb</code> 

La troisième ligne de la sortie confirme que la signature a été générée par l'auteur du logiciel - dans ce cas, Tixati Software Inc. De plus, l'empreinte digitale affichée correspond à celle que nous avons précédemment vérifiée, confirmant l'authenticité de la signature PGP.

Nous espérons que ce guide vous a aidé à comprendre comment vérifier la signature PGP d'un progiciel téléchargé dans Linux.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!