怎样使用数字签名验证 Windows 软件的真实性

每次从 Internet 下载程序时,您都必须相信开发人员它不是恶意的。 没有办法解决这个问题。 但这通常不是问题,尤其是对于知名软件和开发人员。

但是,托管软件的网站更容易受到攻击。 攻击者可以破坏网站的安全性并用他们自己的恶意版本替换程序。 它的外观和工作方式与原版完全一样,只是它插入了一个后门。 通过这个后门,攻击者可以控制您日常计算的各个部分。 您的计算机要么被插入了僵尸网络,要么更糟糕的是,该实用程序会等到您使用信用卡/借记卡并窃取其凭据。 下载重要软件(例如操作系统、加密货币钱包或类似软件)时应特别小心。

数字签名可以 Save 那天

软件作者可以签署他们的产品。 除非攻击者可以窃取他们的私钥,否则没有已知的方法可以伪造此签名。 数以千计的用户下载恶意程序的情况很多,几乎在每种情况下,如果他们检查数字签名,他们就会发现它们是无效的,从而避免了这种情况。 替换易受攻击网站上的软件相对容易,但窃取正确存储并与 Internet 访问隔离的私钥非常困难。

您可以在此处阅读有关数字签名的更多信息。 本文讨论了同样的事情,只是您将使用 Windows 实用程序来验证下载。

怎样使用 Gpg4win 验证数字签名

转到此页面并 下载并安装 Gpg4win. 聪明的人会问自己:“但我怎么知道这是合法的?” 这是一个很好的问题。 如果这被破坏了,那么后面的所有步骤都将毫无用处。

幸运的是,开发人员克服了所有麻烦,使他的软件得到了证书颁发机构的签名。 他详细说明了 在他的网站上验证他的程序的步骤. 虽然使用类似的密码学来检查有效性,但总体方法是不同的。 为此使用数字证书。

验证文件校验和

假设你想 下载比特币核心钱包. 下载 x64 Windows 可执行文件(exe,而不是 zip)。 之后,点击“Verify release signatures”下载“SHA256SUMS.asc”文件。 第一步是验证安装文件的哈希值。 您可以在此处阅读有关哈希的更多信息。

转到您的下载文件夹,安装 Gpg4win 后,您现在可以右键单击文件,将出现一个新的上下文菜单。 右键单击比特币设置文件(您下载的 exe),然后选择“更多 GpgEX 选项 -> 创建校验和”,如下图所示。

打开生成的“sha256sum.txt”和下载的“SHA256SUMS.asc”。 比较 SHA256 校验和。 他们应该是绝配。

检查列出校验和的文件签名

虽然您刚刚从同一网站下载了安装文件和校验和列表,但如果攻击者替换了安装文件,他也可以轻松替换校验和列表。 然而,他不能做的是伪造签名。 这可以通过已知(合法)公钥进行验证。 首先,您需要下载此密钥。

下图是签名的样子。

检查软件签名内联签名示例

这是一个内联签名(包含在它验证的同一个文件中)。 有时这会被分离,包含在一个单独的文件中。 如果您只更改此文本文件中的一个字母,则签名无效。 这是一种了解开发人员批准并使用正确校验和签署这些确切、特定内容的方式。

导入开发者公钥

您可以在比特币下载页面的“Bitcoin Core Release Signing Keys”下下载公钥。 作为预防措施,您可以从其他来源下载它们。 如果攻击者用他自己的密钥替换了合法密钥,我们很可能会在所有其他发布或讨论过的地方找到正确的密钥(和指纹)。

右键单击“SHA256SUMS.asc”,然后选择“解密和验证”。 该程序会告诉您您还没有公钥。 点击“搜索”。

检查软件签名搜索公钥

搜索可能需要一段时间。 请注意“查找”字段中的字符串。

检查软件签名密钥指纹

您可以将其复制并粘贴到 Google 中,以查看此公钥指纹是否已在合法论坛主题/网站等上讨论过。您找到的地方越多,您就越能确定它属于预期所有者。

单击密钥,然后将其导入。 如果您现在不知道怎样或不想这样做,您可以在接下来出现的提示中单击“否”(采取措施验证密钥)。

最后,单击“显示审核日志”。

检查软件签名显示审计日志

您应该会看到下一张图片中突出显示的文本“好签名”。

检查软件签名良好的签名

尝试仅更改“SHA256SUMS.asc”中的一个字母,您将得到下图所示的内容。

检查软件签名错误签名

结论

很少有开发人员可以让您检查他们的软件是否来自他们。 但通常处理敏感数据或非常重要的程序会为您提供此选项。 使用它,有一天它可能会让你免于麻烦。

永远不会错过

接收我们最新教程的更新。

注册所有时事通讯。 我想通过电子邮件接收时事通讯。 我们不会共享您的数据,您可以随时取消订阅。 订阅

相关阅读:

Posted in: Windows