সংরক্ষণাগারগুলি স্বাক্ষর করা সম্ভব?


15

আমি একটি পাব / পিআরভি কী তৈরি করতে এবং একটি ফাইলের স্বাক্ষর তৈরি করতে এবং এটিতে বৈধতা দেওয়ার জন্য ওপেনসেল দিয়ে খেলি। আমি ক্রিপ্টোফেন (উইন্ডোজ গনুপগ ফ্রন্টএন্ড) দিয়ে খেললাম এবং কীਸਰভার + সহ স্বাক্ষরিত পাঠ্যের সাথে প্লে করেছি।

আমি তবে কখনও কোনও ফাইল সংরক্ষণাগারটিতে স্বাক্ষর করি নি। আমি যদি কোনও সংরক্ষণাগার প্রকাশ করতে চাই (7z, রাআর বা জিপ, এটি কিছু যায় আসে না) এবং আমি চাই যে আমার ব্যবহারকারী বা সফ্টওয়্যার পরীক্ষা করতে সক্ষম হবে যে সংরক্ষণাগারটি স্বাক্ষরিত হয়েছে কিনা আমি কীভাবে করব? সর্বজনীন কী অবশ্যই প্রকাশ্যে উপলব্ধ হওয়া দরকার। তবে সংরক্ষণাগারে স্বাক্ষর যুক্ত করা আমাকে হতাশ করে। কোনও সফ্টওয়্যার + সংরক্ষণাগার কি আমাকে সংকোচিত সংরক্ষণাগার ফাইলটিতে স্বাক্ষর করতে ও যাচাই করার অনুমতি দেয়?


আপনি কেন এটিতে স্বাক্ষর করতে চান? আপনি কেবলমাত্র একটি SHA1 হ্যাশ তৈরি করতে এবং আপনার ক্লায়েন্ট / ব্যবহারকারীদের জন্য এটির জন্য হ্যাশটি উপলব্ধ করতে পারেন। ফাইলটি যে কোনওভাবে ছড়িয়ে পড়েছে তা নিশ্চিত করার জন্য এটি যথেষ্ট। যদিও আপনার ব্যবহারকারীদের হ্যাশ যাচাই করার ক্ষমতা থাকতে হবে তবে স্বাক্ষর যাচাই করার চেয়ে শক্ত কোনও নয়।
বিজে 292

@ BJ292: এবং আপনি কীভাবে যাচাই যে হ্যাশ সঙ্গে ক্ষতিগ্রস্ত করা হয়েছে?
ব্যবহারকারীর 6868

@ গ্রায়েটি - নিশ্চিত না যে আমি অনুসরণ করি - হ্যাশের সাথে হস্তক্ষেপের কী লাভ? আমি আপনাকে একটি ফাইল এবং হ্যাশ প্রেরণ করছি - আপনি ফাইলটি থেকে হ্যাশটিকে পুনরায় তৈরি করেন এবং এটির সাথে মেলে তা নিশ্চিত করুন - এটি নিশ্চিত করে যে ফাইলটি পরিবর্তন করা হয়নি। বেশিরভাগ পরিস্থিতিতে এটি বেশিরভাগ লোকই চান - ফাইলটি এ থেকে বিতে অপরিবর্তিত রয়েছে তা নিশ্চিতকরণ। অবশ্যই ওপি এর পরে এই জাতীয় শব্দগুলি আসবে।
বিজে 292

3
@ বিজে ২২২: আপনি ধরে নিচ্ছেন যে ওপি কেবল দুর্ঘটনাক্রমে ডেটা দুর্নীতির সাথে সম্পর্কিত। প্রশ্নে এটি বলা হয়নি (বা অস্বীকার করা হয়নি), তবে ওপি ডিজিটাল স্বাক্ষর সম্পর্কে জিজ্ঞাসা করছে, তাই আমি ধরে নিতে চলেছি ইচ্ছাকৃত (সম্ভবত দূষিত) ডেটা সংশোধন থেকে রক্ষা করার প্রয়োজন আছে ।
user1686

1
@ বিজে 292: ফাইলগুলি অন্য পিপিএলএস সাইটগুলিতে মিরর করা হবে। আমি তাদের স্বাক্ষর করতে চাই যাতে কোনও আয়না

উত্তর:


10

একটি সাধারণ পদ্ধতি হ'ল কোনও ফাইলে একটি বিচ্ছিন্ন স্বাক্ষর তৈরি করা.sig (সাধারণত পিজিপি স্বাক্ষর ব্যবহার করে gpg -b- X.509 খুব অস্বাভাবিক) এবং উভয় ফাইলকে একই জায়গায় সরবরাহ করা। উদাহরণ স্বরূপ:

ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2.sig

এটি যে কোনও ধরণের ফাইলের সাথে ব্যবহার করা যেতে পারে তবে ব্যবহারকারীকে স্বাক্ষর করে নিজেই যাচাই করতে হবে gpg --verify


দুর্ভাগ্যক্রমে, বর্তমানে যারা ব্যবহার করছেন তাদের মধ্যে, কোনও সংরক্ষণাগার বিন্যাসের (যা আমি জানি) পিজিপি বা এক্স.509 ব্যবহার করে বিল্ট-ইন স্বাক্ষরগুলির পক্ষে সমর্থন নেই । (এটি সিএবি বাদ দিচ্ছে না, যা উইন্ডোজ অভ্যন্তরীণভাবে ব্যবহার করেছে তবে কার্যত অন্য কোথাও নেই এবং সাইন ইন করা জটিল)। উইনআরআর 4 মালিকানাধীন ফর্ম্যাটটি ব্যবহার করে একটি "সত্যতা যাচাইকরণ" রেকর্ড যুক্ত করতে সক্ষম হয়েছিল তবে এটি আপনার উইনআরআর লাইসেন্সটিকে স্বাক্ষর কী হিসাবে ব্যবহার করে যা বারবার ফাটল। (আপডেট: নিরাপত্তাহীনতার কারণে এই বৈশিষ্ট্যটি WinRAR 5 থেকে সরানো হয়েছে।)


উইন্ডোজে (এবং শীঘ্রই ম্যাক ওএস এক্স), এটি একটি "স্ব-উত্তোলন সংরক্ষণাগার" তৈরি করা সম্ভব - একটি ডিজিটালি স্বাক্ষরিত এক্সিকিউটেবল যা নিজের মধ্যে থেকে একটি সংরক্ষণাগার সংগ্রহ করে - উইন্ডোজের সফ্টওয়্যার ইনস্টলারগুলি উদাহরণস্বরূপ এইভাবে কাজ করে। যাইহোক, এসএফএক্সগুলি একটি একক অপারেটিং সিস্টেমে সীমাবদ্ধ তাই তারা কেবলমাত্র ডকুমেন্ট বা ছবি নয় প্রোগ্রামগুলি বিতরণের জন্য উপযুক্ত । (জাভা প্রোগ্রামগুলি স্বাক্ষরিত হতে পারে এবং ক্রস প্ল্যাটফর্ম হতে পারে, তবে কয়েকটি সিস্টেমে জাভা রানটাইম বাকি রয়েছে))


2

জাভা-জার-টুল দিয়ে তৈরি জার-সংরক্ষণাগারগুলি কার্যকরভাবে জিপ-আর্কাইভস এবং সেগুলিতে সাইন ইন করার জন্য একটি সরঞ্জাম, জারসাইনার রয়েছে।

এখানে কয়েকটি দরকারী লিঙ্ক রয়েছে:

এটি প্রথমে কিছুটা জটিল দেখায় ("কী, আমার কীজেটল দরকার? অন্য কি?") তবে এটি সহজ ফ্যাশনে সমাধানের পদক্ষেপগুলি অনুসরণ করা সহজ। এটা কাজ করে। তাহলে আপনি বিষয়টি আরও গভীরভাবে ডুবতে পারেন।


এটি সত্য (এক্সপিআই সংরক্ষণাগারগুলিও জিপগুলি একটি খুব অনুরূপ ফ্যাশনে স্বাক্ষরিত), তবে আফাইক, কেবল জাভা রানটাইম আসলে জআআর স্বাক্ষরগুলি যাচাই করে এবং ম্যানুয়াল যাচাইয়ের প্রয়োজন হয় এটি GnuPG এর চেয়ে আরও কম ব্যবহারিক করে তোলে।
ব্যবহারকারী1686

তুমি কি বলতে চাচ্ছো manual verification? বিকল্প কি? একটি অটোপপআপ, যা প্রতি 10 মিনিটে নিজেকে যাচাই করে? ওএস স্বয়ংক্রিয়ভাবে সংরক্ষণাগারটি বুট আপ যাচাই করবে? যখন কোনও সংরক্ষণাগার প্রাপ্ত হয় - এটি সিডি থেকে, ইমেল-সংযুক্তি, ডাউনলোড থেকে, ...? এটি আপনার ভাইরাস স্ক্যানারে প্লাগইন হওয়া উচিত?
ব্যবহারকারী অজানা

আমি বোঝাতে চেয়েছিলাম সংরক্ষণের আগে / সময় নিষ্ক্রিয় নিষ্কাশন সরঞ্জাম দ্বারা বা প্রোগ্রাম প্রয়োগের সময় ওএস / রানটাইম দ্বারা যাচাইকরণ। উদাহরণস্বরূপ, .debপ্যাকেজ স্বাক্ষর যাচাই করা হয় dpkg, প্যাকেজ ইনস্টল করার পূর্বে ছাড়া ব্যবহারকারী কোন অতিরিক্ত ব্যবস্থা গ্রহণের।
user1686

@ গ্রায়েটি: স্বাক্ষরিত অ্যাপলেটগুলি, একটি জারে জিপ করা হয়, মৃত্যুদন্ড কার্যকর হওয়ার আগে যাচাই করা হয়। একটি ন্যূনতম শেল স্ক্রিপ্ট তৈরি করতে, যা নিষ্কাশন (জার) এর সাথে যাচাইকরণ (জার্সাইনার) সংযুক্ত করে তুচ্ছ হবে।
ব্যবহারকারী অজানা

তৃতীয় লিঙ্ক "জার ফাইলগুলিতে স্বাক্ষর করার বিষয়ে উইকি" নষ্ট হয়েছে
জেসন এস

0

অবশ্যই, আপনি প্রতিবার স্বাক্ষরিত সফ্টওয়্যার ইনস্টল করার সময় আপনি একটি স্বাক্ষরিত সংরক্ষণাগারটি যাচাই করছেন। একটি তৈরি করতে আপনার একই প্যাকেজিং সরঞ্জাম বিকাশকারীদের ব্যবহার করা উচিত। কিছু ট্রেড অফ রয়েছে, ক্রস প্ল্যাটফর্মের সামঞ্জস্যের বিরুদ্ধে ব্যবহারের সহজতা। আমি ক্রস প্ল্যাটফর্ম স্বাক্ষরিত স্ব-উত্তোলন সংরক্ষণাগার তৈরির কোনও উপায় সম্পর্কে ভাবতে পারি না।

উইন্ডোজের জন্য, ie এক্সপ্রেস সরঞ্জামটির সাহায্যে একটি স্ব এক্সট্র্যাক্টিং সংরক্ষণাগার তৈরি করুন, তারপরে এখানে বর্ণিত হিসাবে সিগনটুল.এক্সে ব্যবহার করে স্বাক্ষর করুন । আপনার ব্যবহারকারীরা যখন ফাইলে ডাবল ক্লিক করেন, তাদের কাছে সংরক্ষণাগারটির প্রকাশক হিসাবে আপনাকে চিহ্নিত করার জন্য উইন্ডোগুলির কনফার্ম সংলাপ নিশ্চিত হবে।


-1

আপনি এই দুটি কমান্ডের সাহায্যে জারসিগনার ব্যবহার করে ফাইলগুলিতে সাইন করতে পারেন:

keytool -genkeypair -alias <key-alias> -keyalg RSA -keystore <keystore> -validity 180

jarsigner -verbose -sigalg SHA256withRSA -digestalg SHA-256 -keystore <keystore> <file-to-sign> <key-alias>

আপনার পিসিতে আপনার জাভা জেডিকে ইনস্টল করতে হবে।

- প্রথম কমান্ডটি বর্তমান ডিরেক্টরিতে মূল স্টোর তৈরি করে (ধরে নিলে এটি ইতিমধ্যে বিদ্যমান নেই)। এটি অ্যালগোরিদম SHA-256 ব্যবহার করে একটি পাবলিক / প্রাইভেট কী জুড়ি উত্পন্ন করে।

-দ্বিতীয়টি একই অ্যালগরিদম, কীস্টোর এবং প্রথমটির দ্বারা উত্পন্ন উত্সটি ব্যবহার করে ফাইলটিতে স্বাক্ষর করে।

কোনও কী স্টোর ব্যবহার করে স্বাক্ষরিত কোনও ফাইল যাচাই করতে, আপনি এই আদেশটি চালাতে পারেন:

jarsigner -keystore <keystore> -verify -verbose -certs <file-signed>
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.