क्यों और कैसे एक PGP डिजिटल हस्ताक्षर का उपयोग करने के लिए

कुछ समय पहले हमने क्रिप्टोग्राफ़िक हैश (जैसे एमडी 5 और एसएच 1 चेकसम) पर चर्चा की थी, और वे यह सुनिश्चित करने में कैसे मदद करते हैं कि आपके द्वारा डाउनलोड की जाने वाली फ़ाइल वही फ़ाइल है जिसका निर्माता ने आपको फ़ाइल का एक विशिष्ट 'फ़िंगरप्रिंट' बनाकर डाउनलोड करने का इरादा किया है जो कि हो सकता है मूल के खिलाफ जाँच की.

किसी भी फ़ाइल के बारे में सिर्फ अखंडता को सत्यापित करने की क्षमता महत्वपूर्ण है, लेकिन जब हम इंटरनेट से गोपनीयता और सुरक्षा सॉफ़्टवेयर डाउनलोड करते हैं, तो यह बिल्कुल महत्वपूर्ण है। आखिरकार, एक कार्यक्रम में आपकी गोपनीयता और सुरक्षा पर भरोसा करने का क्या मतलब है जिसमें वायरस हो सकता है, खासकर जब आप समझते हैं कि इस तरह के सॉफ्टवेयर और इसके उपयोगकर्ता एनएसए और इसके ilk के लिए उच्च प्राथमिकता के लक्ष्य के बिना हैं।?

यहां तक ​​कि जब आप किसी विक्रेता या डेवलपर्स की वेबसाइट से सीधे सॉफ्टवेयर डाउनलोड करते हैं, तो आप एक मैन-इन-द-मिडिल (मिटम) हमले का शिकार हो सकते हैं, या वेबसाइट खुद ही विभिन्न तरीकों से समझौता कर सकती है।.

क्रिप्टोग्राफ़िक हैश का उपयोग करना इस समस्या को हल करने का एक प्रयास है, लेकिन दुर्भाग्य से तकनीक की एक बड़ी कमजोरी है - उदाहरण के लिए, एक डेवलपर की वेबसाइट को मूल के बजाय एक समझौता फ़ाइल के हैश को प्रदर्शित करने के लिए हैक किया जा सकता है, या गणितीय कमजोरियां असुरक्षित बना सकती हैं। हेज़ इसलिए सत्यापित करने में उपयोगी हैं कि कोई फ़ाइल दूषित नहीं हुई है, लेकिन केवल यह सुनिश्चित करने में सीमित उपयोग है कि आपके द्वारा डाउनलोड की जाने वाली फ़ाइल वही फ़ाइल है जिसे उसके डेवलपर्स ने आपको डाउनलोड करने का इरादा दिया है.

इस बारे में अधिक आश्वासन देने के लिए, डेवलपर्स अपनी फाइलों को डिजिटल हस्ताक्षरों के साथ हस्ताक्षरित कर सकते हैं, जो यह प्रमाणित करने के लिए असममित क्रिप्टोग्राफी (सार्वजनिक कुंजी और निजी कुंजी) के एक रूप को नियोजित करता है, जो यह दावा करता है कि वास्तव में क्या है.

यह दर्शाता है कि डिजिटल हस्ताक्षर कैसे लागू किया जाता है और फिर सत्यापित किया जाता है.

पीजीपी डिजिटल हस्ताक्षर

विभिन्न क्रिप्टोग्राफिक सिस्टम डिजिटल हस्ताक्षर बनाने और मान्य करने के लिए विभिन्न तंत्रों का उपयोग करते हैं। उदाहरण के लिए, Windows, Microsoft सार्वजनिक कुंजी अवसंरचना (PKI) तकनीक का उपयोग सॉफ़्टवेयर को पहली बार स्थापित होने पर हस्ताक्षरों को स्वचालित रूप से मान्य करने के लिए करता है.

ओपन-सोर्स सॉफ़्टवेयर स्वामित्व वाले Microsoft PKI का उपयोग नहीं कर सकता है, और इसलिए इसके बजाय PGP डिजिटल हस्ताक्षर का उपयोग करता है। जिसे तब मैन्युअल रूप से प्रमाणित किया जाना चाहिए। ये पीजीपी ईमेल को प्रमाणित करने के लिए उपयोग की जाने वाली प्रमुख जोड़ियों की तरह काम करते हैं, और जैसा कि हम देखेंगे, पीजीपी डिजिटल हस्ताक्षर की पुष्टि के लिए पीजीपी-संगत मेल प्रोग्राम का उपयोग करना आवश्यक है.

दुर्भाग्य से, इसका अर्थ यह भी है कि पीजीपी का उपयोग ईमेलों को सुरक्षित करने के लिए, पीजीपी डिजिटल हस्ताक्षरों का उपयोग करने से अधिक जटिल है.

क्लियोपेट्रा जीयूआई का उपयोग करके एक डिजिटल हस्ताक्षर को कैसे सत्यापित करें

किसी फ़ाइल के पीजीपी डिजिटल हस्ताक्षर को सत्यापित करने के लिए आपको पीजीपी ग्राहक (या अधिक सटीक रूप से GnuPG - इसका ओपन-सोर्स क्लोन) का उपयोग करना होगा। GnuPG के संस्करण विंडोज (Gpg4win), मैक OSX और लिनक्स (आमतौर पर पूर्व-स्थापित) के लिए उपलब्ध हैं.

इस ट्यूटोरियल में, हम Gpg4win का उपयोग करके Pidgin + OTR के डिजिटल हस्ताक्षर को सत्यापित करेंगे, लेकिन प्रक्रिया GnuPG के अन्य संस्करणों के लिए बहुत समान है.

हमारे पास Gpg4win का उपयोग करने पर एक दो-भाग का लेख है, और हम दृढ़ता से इसके बारे में कम से कम भाग 1 पढ़ने की सलाह देते हैं ताकि वे अपने आप को मुख्य अवधारणाओं से परिचित करा सकें जो नीचे उपयोग किए जाएंगे।.

Gpg4win डाउनलोड अपने आप में डिजिटल रूप से एक कुंजी के साथ हस्ताक्षरित है जिसे किसी मान्यताप्राप्त प्रमाण पत्र प्राधिकरण (CA) द्वारा सत्यापित किया गया है, और जिसे स्वतंत्र रूप से GnuPG (एक SHA1 हैश भी उपलब्ध है) की एक विश्वसनीय पुरानी कॉपी का उपयोग करके सत्यापित किया जा सकता है।. आपको कभी भी Gpg4win की एक प्रति पर भरोसा नहीं करना चाहिए जिसे आपने सत्यापित नहीं किया है.

एक बार GnuPG स्थापित होने के बाद, हमें एक डिजिटल हस्ताक्षर को सत्यापित करने के लिए तीन चीजों की आवश्यकता है:

  • वह फ़ाइल जिसे हम सत्यापित करना चाहते हैं (duh!) उदा। पिजिन-ओटीआर-4.0.1.exe इंस्टॉलर
  • PGP / GPG हस्ताक्षर फ़ाइल (.asc) उदा। मिश्रित-OTR-4.0.1.exe.asc
  • सार्वजनिक हस्ताक्षर / PGP प्रमाणपत्र इस हस्ताक्षर को बनाने के लिए उपयोग किया जाता है उदा। gpgkey.asc

इन फ़ाइलों को सभी (उम्मीद है) डेवलपर द्वारा प्रदान किया जाना चाहिए जिनकी डिजिटल हस्ताक्षरित फाइलें आप सत्यापित करना चाहते हैं। सार्वजनिक कुंजी / PGP प्रमाणपत्र अक्सर एक पर्यवेक्षक पर संग्रहीत होते हैं, लेकिन देवों को उन्हें एक्सेस करने के लिए निर्देश प्रदान करना चाहिए.

Kleopatra

क्लियोपेट्रा Gpg4win के साथ एक महत्वपूर्ण प्रबंधन कार्यक्रम है.

1. PGP प्रमाणपत्र को प्रमाणित करने के लिए आपको एक निजी निजी कुंजी की आवश्यकता होगी। यदि आपने पहले (उदाहरण के लिए जीपीए का उपयोग करके) बनाया है, तो आप इसे आयात कर सकते हैं (फाइल) -> प्रमाण पत्र आयात करें ...), या आप एक नया कुंजी युग्म बना सकते हैं (फ़ाइल) -> नया प्रमाणपत्र ...).

जादूगर इस प्रक्रिया के बाकी हिस्सों में आपका मार्गदर्शन करेंगे

2. सार्वजनिक कुंजी / PGP प्रमाणपत्र को क्लियोपेट्रा में आयात करें - 'आयात प्रमाणपत्र' का उपयोग करके, या फ़ाइल पर राइट-क्लिक करें और 'आयात कुंजी' का चयन करें.

3. अपनी निजी कुंजी का उपयोग करके पीजीपी प्रमाणपत्र को प्रमाणित करें - यह ग्नूपीजी को बताता है कि आप उस व्यक्ति पर भरोसा करते हैं जिसने प्रमाण पत्र पर हस्ताक्षर किए हैं.

क) क्लियोपेट्रा में कुंजी पर राइट-क्लिक करें और 'प्रमाणपत्र प्रमाणित करें' चुनें.

बी) प्रमाण पत्र का चयन करें, और पुष्टि करें कि आपने इसके फिंगरप्रिंट को सत्यापित किया है (उम्मीद है कि इसे डेवलपर की वेबसाइट पर प्रकाशित किया जाएगा).

ग) जब तक आप प्रमाण पत्र की प्रामाणिकता के बारे में निश्चित नहीं हैं, तब तक आप केवल खुद के लिए प्रमाणित करें (प्रमाण पत्र विश्वास के एक वेब के सिद्धांत पर काम करते हैं - जितने अधिक लोग उन पर भरोसा करते हैं, उतने अधिक सर्जन आप वास्तविक हो सकते हैं).

डी) प्रमाण पत्र को सत्यापित करने के लिए अपनी निजी कुंजी पासफ़्रेज़ दर्ज करें.

4. अब जब आपने आपके द्वारा डाउनलोड की गई फ़ाइल के लिए हस्ताक्षर बनाने के लिए उपयोग किए गए प्रमाणपत्र को प्रमाणित कर दिया है (whew!), तो आप इसका उपयोग हस्ताक्षर को सत्यापित करने के लिए कर सकते हैं।.

a) क्लियोपेट्रा में फाइल में जाते हैं -> फ़ाइलों को सत्यापित / सत्यापित करें और हस्ताक्षर फ़ाइल में ब्राउज़ करें, या उस पर राइट-क्लिक करें और MoreGpgEX विकल्प पर जाएं -> सत्यापित करें.

बी) सुनिश्चित करें कि ’इनपुट फाइल’ हस्ताक्षर फ़ाइल है, और data हस्ताक्षरित डेटा फ़ील्ड में वह प्रोग्राम या फ़ाइल है जिसे आप सत्यापित करना चाहते हैं, फिर rypt डिक्रिप्ट / सत्यापित करें ’को हिट करें।.

ग) सभी अच्छी तरह से होने के कारण, क्लियोपेट्रा हस्ताक्षर को वैध घोषित करेगी.

मैं एक प्रमाणपत्र पर कैसे भरोसा कर सकता हूं?

यह सत्यापित करने का सबसे सरल तरीका है कि पीजीपी प्रमाणपत्र वैध है, उस व्यक्ति की वेबसाइट की जांच करना है जिसे प्रमाण पत्र पर हस्ताक्षर करना है ... थोड़े से भाग्य के साथ, यह प्रमाणपत्र के फिंगरप्रिंट को प्रकाशित करेगा.

हालांकि, हालांकि, यह आसान है, यह हस्ताक्षर की प्रामाणिकता की गारंटी नहीं देता है, क्योंकि वेबसाइट को हैक किया जा सकता है या सरकार द्वारा नकली फिंगरप्रिंट प्रदर्शित करने के लिए मजबूर किया जा सकता है (वही समस्या जो क्रिप्टोग्राफिक हैश को बढ़ाती है).

यह वह जगह है जहां विश्वास की वेब आती है, जहां उपयोगकर्ता एक प्रमाण पत्र के लिए प्रतिज्ञा करते हैं। व्यवहार में, यह एक रहस्यमय प्रक्रिया है जो अधिकांश उपयोगकर्ताओं के लिए बहुत जटिल और बहुत अस्पष्ट दोनों है, इसलिए हम में से अधिकांश के लिए सबसे अच्छी उम्मीद कर सकते हैं कि प्रमाण पत्र किसी मान्यताप्राप्त प्रमाणपत्र प्राधिकरण द्वारा निर्धारित किया गया है, या ज्ञात डेवलपर्स द्वारा हस्ताक्षरित है। जो अपनी हस्ताक्षरित कुंजी प्रकाशित करते हैं (उदाहरण के लिए टॉर डेवलपर्स करते हैं).

Pidgin + OTR कुछ मायनों में एक बुरा उदाहरण है कि डिजिटल हस्ताक्षर कैसे काम करना चाहिए, क्योंकि OTR वेबपेज अपनी प्रकाशित कुंजियों का उपयोग करने के बारे में लगभग कोई निर्देश नहीं देता है, और इसका PGP प्रमाणपत्र न केवल पता लगाने में बहुत मुश्किल था, बल्कि उपलब्ध होने के अलावा अन्य https://otr.cypherpunks.ca/gpgkey.asc से इसकी प्रामाणिकता को सत्यापित करने का कोई आसान तरीका नहीं है (तथ्य यह है कि 1024-बिट आरएसए कुंजी का उपयोग करना इस युग में भी खराब शो है जब एनएसए शायद इस तरह के कमजोर एन्क्रिप्शन को क्रैक कर सकता है। ).

हालांकि, यह एक अच्छा उदाहरण है कि डिजिटल हस्ताक्षर की पूरी धारणा ऐसी गड़बड़ क्यों है! ओटीआर प्रमाण पत्र को सत्यापित करने का आप कैसे प्रयास कर सकते हैं, इस पर एक दिलचस्प चर्चा यहाँ उपलब्ध है।)

निष्कर्ष

जैसा कि आप देख सकते हैं, डिजिटल हस्ताक्षर को सत्यापित करना वास्तव में एक दर्द है, इसलिए यह बहुत कम आश्चर्य है कि जो लोग भी शब्दजाल-भारी आर्कन प्रक्रिया को समझते हैं वे शायद ही कभी परेशान होते हैं। मुद्दा कई देवों द्वारा उनकी फाइलों को सत्यापित करने में विफल होने के कारण और भी बदतर बना दिया जाता है, और / या मैला पीजीपी प्रमाण पत्र जारी करना जो सत्यापित करने में बहुत कठिन हैं वास्तविक (ओटीआर-टीम, हम आपको देख रहे हैं!)

यह तथ्य कि डिजिटल हस्ताक्षर इस बात की गारंटी देने का एकमात्र अर्थपूर्ण तरीका है कि आपके द्वारा डाउनलोड की जाने वाली फ़ाइलें वही हैं जिन्हें आप डाउनलोड करने का इरादा रखते हैं (या जो उनके देवता आपको डाउनलोड करने का इरादा रखते हैं), इंटरनेट सुरक्षा के लिए अच्छा नहीं है।.

हालांकि, जब तक कोई बेहतर, अधिक उपयोगकर्ता-अनुकूल प्रणाली का आविष्कार नहीं करता है, तब तक हमारी सबसे अच्छी आशा है कि देवों को अपने डिजिटल हस्ताक्षरों का उपयोग करने के बारे में स्पष्ट निर्देश प्रदान करने के लिए प्रोत्साहित किया जाए, और उनके पीजीपी प्रमाणपत्रों की प्रामाणिकता के रूप में सार्थक गारंटी प्रकाशित की जाए ... (आह)

"डिजिटल हस्ताक्षर आरेख" Acdx द्वारा - खुद का काम। विकिमीडिया कॉमन्स के माध्यम से CC BY-SA 3.0 के अंतर्गत लाइसेंस - https://commons.wikimedia.org/wiki/File:Digital_Signature_diagram.svg#mediaviewer/File:Digital_ignign_diagram.svg

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me