Linux에서 다운로드한 소프트웨어의 PGP 서명을 확인하는 방법

Linux 시스템에 소프트웨어를 설치할 때 일반적으로 순조롭게 진행됩니다. 대부분의 경우 dnf 또는 Pacman과 같은 패키지 관리자를 사용하여 배포 저장소에서 안전하게 설치합니다.

그러나 어떤 경우에는 소프트웨어 패키지가 배포판의 공식 리포지토리에 포함되지 않을 수 있습니다. 이러한 시나리오에서는 공급업체의 웹 사이트에서 다운로드해야 합니다. 그러나 소프트웨어 패키지가 변조되지 않았다고 얼마나 확신합니까? 이것이 우리가 답하고자 하는 질문입니다. 이 가이드에서는 Linux에서 다운로드한 소프트웨어 패키지의 PGP 서명을 확인하는 방법에 중점을 둡니다.

PGP(Pretty Good Privacy)는 파일을 암호화하고 서명하는 데 사용되는 암호화 응용 프로그램입니다. 대부분의 소프트웨어 작성자는 예를 들어 GPG(GNU Privacy Guard)와 같은 PGP 프로그램을 사용하여 응용 프로그램에 서명합니다.

GPG는 OpenPGP의 암호화 구현이며 데이터의 안전한 전송을 가능하게 하며 소스의 무결성을 확인하는 데 사용할 수도 있습니다. 비슷한 방식으로 GPG를 활용하여 다운로드한 소프트웨어의 진위 여부를 확인할 수 있습니다.

다운로드한 소프트웨어의 무결성 검증은 다음 순서를 따르는 5단계 절차입니다.

    "
  1. 소프트웨어 작성자의 공개 키 다운로드
  2. 키의 지문을 확인하고 있습니다.
    3. "
  3. 공개 키 가져오기.
    4. "
  4. 소프트웨어의 서명 파일을 다운로드합니다.
  5. 서명 파일을 확인합니다.
    6. "

    이 가이드에서는 P2P 파일 공유 프로그램인 Tixati를 예로 사용하여 이를 보여줍니다. 이미 공식 다운로드 페이지에서 데비안 패키지를 다운로드했습니다.

    Tixati의 PGP 서명 확인

    박쥐에서 우리는 릴리스를 확인하는 데 사용되는 작성자의 공개 키를 다운로드할 것입니다. 키에 대한 링크는 Tixati 다운로드 페이지 하단에 제공됩니다.

    명령줄에서 표시된 대로 wget 명령을 사용하여 공개 키를 가져옵니다.

    $ wget https://www.tixati.com/tixati.key

    공개 키의 지문 확인

    키가 다운로드되면 다음 단계는 표시된 대로 gpg 명령을 사용하여 공개 키의 지문을 확인하는 것입니다.

    $ gpg --show-keys tixati.key

    강조 표시된 출력은 공개 키의 지문입니다.

    GPG 키 가져오기

    키의 공개 지문을 확인한 후 GPG 키를 가져옵니다. 이 작업은 한 번만 수행하면 됩니다.

    $ gpg --import tixati.key

    소프트웨어의 서명 파일 다운로드

    다음으로 표시된 대로 데비안 패키지 바로 옆에 있는 PGP 서명 파일을 다운로드합니다. 서명 파일에는 .asc 파일 확장자가 있습니다.

    $ wget https://download2.tixati.com/download/tixati_2.84-1_amd64.deb.asc

    서명 파일 확인

    마지막으로 그림과 같이 서명 파일과 Debian 패키지를 사용하여 소프트웨어의 무결성을 확인합니다.

    $ gpg --verify tixati_2.84-1_amd64.deb.asc tixati_2.84-1_amd64.deb

    세 번째 줄의 출력은 서명이 소프트웨어 작성자(이 경우 Tixati Software Inc.)의 것임을 확인합니다. 위의 줄은 공개 키의 지문과 일치하는 지문을 제공합니다. 이것은 소프트웨어의 PGP 서명 확인입니다.

    이 가이드가 Linux에서 다운로드한 소프트웨어 패키지의 PGP를 확인하는 방법에 대한 통찰력을 제공하기를 바랍니다.