GPG4win ডাউনলোড ফাইলের সত্যতা যাচাই কিভাবে করবেন?


1

আমি যে জিপিজি 4win ফাইলটি ডাউনলোড করেছি তা যাচাই করার চেষ্টা করছি। আমার এমন একটি মেশিন অ্যাক্সেস আছে যার একটি যাচাইকৃত GnuPG ইনস্টলেশান রয়েছে। আমি দৌড়ে গেলাম

> gpg --recv EC70B1B8
> gpg -v --verify gpg4win-2.3.3.exe.sig gpg4win-2.3.3.exe
  Version: GnuPG v1.4.12 (GNU/Linux)
  gpg: armor header: 
  gpg: Signature made Thu 18 Aug 2016 05:20:50 AM EDT using DSA key ID EC70B1B8
  gpg: using PGP trust model
  gpg: Good signature from "Intevation File Distribution Key <distribution-key@intevation.de>"
  gpg: WARNING: This key is not certified with a trusted signature!
  gpg:          There is no indication that the signature belongs to the owner.
  Primary key fingerprint: 61AC 3F5E E4BE 593C 13D6  8B1E 7CBD 620B EC70 B1B8
  gpg: binary signature, digest algorithm SHA1

আমার উদ্বেগ হল প্রাথমিক কী আঙ্গুলের ছাপ তাদের ওয়েব সাইটে কোড সাইনিং শংসাপত্রের সাথে মেলে না:

কোড সাইনিং শংসাপত্র এপ্রিল থেকে সমস্ত Gpg4win EXE ইনস্টলার ফাইল   2016 নিম্নলিখিত কোড সাইনিং সার্টিফিকেট দিয়ে স্বাক্ষরিত হয়:

  S/N: 1121A3D67EAB28AA86FD85728B57FA62630D
  Issuer: CN=GlobalSign CodeSigning CA - SHA256 - G2,O=GlobalSign nv-sa,C=BE
  Subject: 1.2.840.113549.1.9.1=#636F64657369676E696E6740696E7465766174696F6E2E6465,CN=Intevation

জিএমবিএইচ, ও = ইন্টিভেশন জিএমবিএইচ, এল = ওসনব্রুক, এসটি = নিডারসচেন, সি = ডি         sha1_fpr: DE: 16: D5: 97: 2F: 0B: 73: 95: F7: D9: 1E: DC: 1F: 21: 9b: 0F: FE: 89: FA: B3         md5_fpr: C0: 98: 08: 94: D4: E7: 97: 3E: 9D: F4: 18: E4: 5E: 0A: 2E: D7         না আগে: 2016-03-30 16:54:41         না পরে: 2019-03-31 16:54:41

আমি তুলনা করছি sha1_fpr প্রাথমিক কী আঙ্গুলের ছাপ। এটা কি সঠিক জিনিস না?


একটি চেহারা আছে এখানে এবং সঙ্গে পরীক্ষা বিবেচনা আস্থা আপনার প্রাইভেট কী দিয়ে সার্বজনিক কী সংশোধন বা সম্ভবত স্বাক্ষর অনুযায়ী কমান্ড। যদি প্রয়োজন হয় তবে গবেষণায় আরও একটু বেশি সমাধান করুন যদি আপনি এই ক্ষেত্রে কী নির্দিষ্ট করে নিশ্চিত করেন এবং বিশ্বাস করেন তবে আপনার ক্ষেত্রে আবেদন করতে পারেন।
Pimp Juice IT

উত্তর:


0

আপনি স্বাক্ষর বিভিন্ন ধরণের তুলনা করছি। স্বাক্ষর gpg4win-2.3.3.exe.sig একটি OpenPGP স্বাক্ষর, যা আপনি GnuPG এর মাধ্যমে যাচাই করতে পারেন (তবে উইন্ডোজ ওপেনপিজপিটির জন্য কোনও সমর্থন নেই)। অন্যদিকে, কোড সাইনিং শংসাপত্র (যেমন এটি উইন্ডোজ দ্বারা যাচাই করা হয়) একটি X.509 শংসাপত্র। এই স্বাক্ষর এম্বেড করা হয় gpg4win-2.3.3.exe ফাইল। আমি সঠিকভাবে মনে রাখবেন, আপনি মাধ্যমে এটি যাচাই করতে সক্ষম হওয়া উচিত SignTool verify gpg4win-2.3.3.exe

ওপেন পিজিপি এবং এক্স .5 9 সার্টিফিকেটগুলি মূলত একই ক্রিপ্টোগ্রাফিক নীতিগুলির (অর্থাত্ আরএসএ কী) উপর নির্ভর করে, তাদের কী এবং সার্টিফিকেটগুলি সামঞ্জস্যপূর্ণ নয়। আপনি একই RSA কী জোড়ার শংসাপত্র তৈরি করতে পারলেও তারা ভিন্ন হতে পারে এবং বিভিন্ন আঙ্গুলের ছাপগুলি থাকে: বিভিন্ন তথ্য অন্তর্ভুক্ত করা হয়।

একটি গুরুত্বপূর্ণ পার্থক্য অন্তর্নিহিত ট্রাস্ট সিস্টেমও: যখন ওপেনপিজিপি নির্ভর করে বিশ্বাস ওয়েব (আপনি নিজের বা অন্য বিশ্বস্ত এবং যাচাই করা কীগুলি থেকে শুরু হওয়া বিশ্বাসের পথগুলি অনুসন্ধান করছেন; আপনি এখনও এমনটি করেননি, এইভাবে একটি অ-বিশ্বস্ত স্বাক্ষরের বার্তাটি), X.509 একটি হায়ারার্কিকাল পদ্ধতি ব্যবহার করে: তথাকথিত তথাকথিত সার্টিফিকেট কর্তৃপক্ষ বিশ্বস্ত এবং অন্যদের জন্য সার্টিফিকেট প্রদান করার অনুমতি দেওয়া হয়েছে (এখানে, এটি গ্লোবাল সাইন)।


ঐ কমান্ডগুলি লিনাক্সে চালানো হয়েছিল .. আপনি কি জানতেন যে gpg4win উইন্ডোতে সাইন ইন ছিল?
Alex

অগত্যা, আমি বরং বলব যে ফাইলটি ডিফল্ট উইন্ডোজ সরঞ্জামগুলির সাথে যাচাইয়ের জন্য স্বাক্ষরিত হয়েছিল (প্রায়শই, এটি উভয় প্রযুক্তি ব্যবহার করে স্বাক্ষরিত হয়েছিল)। এই ধরনের সফ্টওয়্যার সার্টিফিকেট ড্রাইভার এবং অন্যান্য সিস্টেম সফ্টওয়্যার জন্যও প্রয়োজন।
Jens Erat

আমি ভয় পাচ্ছি তুমি বুঝতে পারছ না যে তুমি কি বলছো: তুমি বলেছ যে .exe উইন্ডোজ এ সাইন ইন ছিল তাই এটি OpenPGP ব্যবহার করে না? যদি এমন হয়, এখন আমার কাছে জিপিপি 4 উইন আছে, আমি কি ডাউনলোড হওয়া ফাইলটি সঠিকভাবে যাচাই করতে পারব?
Alex

GPG4win ইনস্টলারে জারি করা দুটি স্বাক্ষর স্বাক্ষর রয়েছে: একটি ওপেনপিজি স্বাক্ষর .sig ফাইল, এবং একটি "উইন্ডোজ শৈলী" সফ্টওয়্যার স্বাক্ষর embedded .exe ফাইল। আপনি তাদের প্রতিটি স্বাধীনভাবে যাচাই করতে পারেন, তারা একে অপরের সাথে সংযুক্ত না হয় এবং পৃথক মান ব্যবহার করে পৃথক কী থেকে সমস্যা। আপনি GPG4win ইনস্টলার যাচাই করতে চান এমন কোন স্বাক্ষর চয়ন করুন।
Jens Erat
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.