웹사이트 검색

Linux에서 다운로드한 소프트웨어의 PGP 서명을 확인하는 방법

Linux 시스템에 소프트웨어를 설치할 때 일반적으로 원활하게 진행됩니다. 대부분의 경우 apt, dnf 또는 Pacman과 같은 패키지 관리자를 사용하여 배포 저장소에서 안전하게 설치합니다.

그러나 어떤 경우에는 소프트웨어 패키지가 배포판의 공식 저장소에 포함되지 않을 수도 있습니다. 이러한 시나리오에서는 공급업체의 웹사이트에서 다운로드해야 합니다. 하지만 소프트웨어 패키지가 변조되지 않았다고 어떻게 확신하시나요? 이것이 우리가 대답하려고 하는 질문입니다. 이 가이드에서는 Linux에서 다운로드한 소프트웨어 패키지의 PGP 서명을 확인하는 방법에 중점을 둡니다.

PGP(Pretty Good Privacy)는 파일 암호화 및 서명에 사용되는 암호화 애플리케이션입니다. 대부분의 소프트웨어 작성자는 GPG(GNU Privacy Guard)와 같은 PGP 프로그램을 사용하여 애플리케이션에 서명합니다.

GPGOpenPGP의 암호화 구현으로, 데이터를 안전하게 전송할 수 있으며 소스의 무결성을 확인하는 데에도 사용할 수 있습니다. 비슷한 방식으로 GPG를 활용하여 다운로드한 소프트웨어의 신뢰성을 확인할 수 있습니다.

다운로드한 소프트웨어의 무결성 확인은 다음 순서를 따르는 5단계 절차입니다.

  • 소프트웨어 작성자의 공개 키를 다운로드합니다.
  • 키의 지문을 확인합니다.
  • 공개 키를 가져오는 중입니다.
  • 소프트웨어의 서명 파일을 다운로드합니다.
  • 서명 파일을 확인하십시오.

이 가이드에서는 P2P 파일 공유 프로그램인 Tixati를 예로 들어 이를 보여드리겠습니다. 이미 공식 다운로드 페이지에서 데비안 패키지를 다운로드했습니다.

Tixati의 PGP 서명 확인

즉시 모든 릴리스를 확인하는 데 사용되는 작성자의 공개 키를 다운로드하겠습니다. 키에 대한 링크는 Tixati 다운로드 페이지 하단에 제공됩니다.

명령줄에서 표시된 대로 wget 명령을 사용하여 공개 키를 가져옵니다.

wget https://www.tixati.com/tixati.key

공개키의 지문을 확인하세요

키가 다운로드되면 다음 단계는 표시된 대로 gpg 명령을 사용하여 공개 키의 지문을 확인하는 것입니다.

gpg --show-keys tixati.key

강조 표시된 출력은 공개 키의 지문입니다.

GPG 키 가져오기

키의 공개 지문을 확인한 후 GPG 키를 가져옵니다. 이 작업은 한 번만 수행하면 됩니다.

gpg --import tixati.key

소프트웨어 서명 파일 다운로드

다음으로 표시된 대로 데비안 패키지 바로 옆에 있는 PGP 서명 파일을 다운로드합니다. 서명 파일에는 .asc 파일 확장자가 있습니다.

wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

서명 파일 확인

마지막으로 표시된 대로 서명 파일과 Debian 패키지를 사용하여 소프트웨어의 무결성을 확인합니다.

gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

세 번째 줄의 출력은 서명이 소프트웨어 작성자(이 경우에는 Tixati Software Inc)가 보낸 것임을 확인합니다. 위 줄은 공개 키의 지문과 일치하는 지문을 제공합니다. 이는 소프트웨어의 PGP 서명을 확인하는 것입니다.

이 가이드가 Linux에서 다운로드한 소프트웨어 패키지의 PGP를 확인하는 방법에 대한 통찰력을 제공하길 바랍니다.