วิธีตรวจสอบความถูกต้องของซอฟต์แวร์ Windows โดยใช้ลายเซ็นดิจิทัล

ทุกครั้งที่คุณดาวน์โหลดโปรแกรมจากอินเทอร์เน็ต คุณจะถูกบังคับให้เชื่อถือผู้พัฒนาว่าโปรแกรมดังกล่าวไม่ใช่มัลแวร์ ไม่มีทางอื่น. แต่โดยปกติแล้วนี่ไม่ใช่ปัญหา โดยเฉพาะกับนักพัฒนาและซอฟต์แวร์ที่มีชื่อเสียง

อย่างไรก็ตาม เว็บไซต์ที่โฮสต์ซอฟต์แวร์มีความเสี่ยงที่จะถูกโจมตีมากกว่า ผู้โจมตีสามารถบ่อนทำลายความปลอดภัยของเว็บไซต์และแทนที่โปรแกรมด้วยเวอร์ชันที่เป็นอันตราย เวอร์ชันที่เป็นอันตรายมีลักษณะและการทำงานเหมือนกับเวอร์ชันดั้งเดิมทุกประการ ยกเว้นแต่มี การแทรก ประตูหลังเข้าไป ด้วยแบ็คดอร์นี้ ผู้โจมตีสามารถควบคุมส่วนต่างๆ ของคอมพิวเตอร์ได้ คอมพิวเตอร์ของคุณจะถูกแทรกเข้าไปในบอตเน็ตหรือแย่กว่านั้น มัลแวร์จะรอจนกว่าคุณจะใช้บัตรเครดิต/เดบิตและขโมยข้อมูลการเข้าสู่ระบบของคุณ คุณควรระมัดระวังเป็นพิเศษเมื่อดาวน์โหลดซอฟต์แวร์ที่สำคัญ เช่น ระบบปฏิบัติการ กระเป๋าเงินดิจิทัล หรือซอฟต์แวร์อื่นที่คล้ายคลึงกัน

คำแนะนำในการตรวจสอบซอฟต์แวร์ Windows โดยใช้ลายเซ็นดิจิทัล

• ลายเซ็นดิจิทัลสามารถปกป้องคุณได้ในยุคปัจจุบัน
• วิธีใช้ Gpg4win เพื่อตรวจสอบลายเซ็นดิจิทัล
• ยืนยันการตรวจสอบไฟล์
• ตรวจสอบลายเซ็นไฟล์รายการตรวจสอบ
• ป้อนรหัสสาธารณะของนักพัฒนา

ลายเซ็นดิจิทัลสามารถปกป้องคุณได้ในยุคปัจจุบัน

ผู้เขียนซอฟต์แวร์สามารถ “ลงนาม” ผลิตภัณฑ์ของตนได้ เว้นแต่ผู้โจมตีสามารถขโมยคีย์ส่วนตัวของผู้เขียนซอฟต์แวร์ได้ จะไม่มีทางที่ใครจะปลอมแปลงลายเซ็นนี้ได้ มีหลายกรณีที่ผู้ใช้หลายพันคนดาวน์โหลดโปรแกรมที่เป็นอันตราย และในเกือบทุกกรณี หากพวกเขาตรวจสอบลายเซ็นดิจิทัล พวกเขาจะสังเกตเห็นว่าโปรแกรมเหล่านั้นไม่ถูกต้องและสามารถหลีกเลี่ยงสถานการณ์ได้ นี่ การเปลี่ยนซอฟต์แวร์บนเว็บไซต์ที่มีช่องโหว่นั้นค่อนข้างง่าย แต่เป็นการยากมากที่จะขโมยคีย์ส่วนตัวที่จัดเก็บและแยกออกจากการเข้าถึงอินเทอร์เน็ตอย่างเหมาะสม

คุณสามารถอ่านเพิ่มเติมเกี่ยวกับลายเซ็นดิจิทัลได้ในบทความ: วิธีตรวจสอบความถูกต้องของซอฟต์แวร์ Linux โดยใช้ลายเซ็นดิจิทัล บทความนี้กล่าวถึงสิ่งเดียวกัน ยกเว้นคุณจะใช้ยูทิลิตี้ Windows เพื่อตรวจสอบสิทธิ์การดาวน์โหลด

วิธีใช้ Gpg4win เพื่อตรวจสอบลายเซ็นดิจิทัล

ดาวน์โหลดและติดตั้งGpg4win . คนฉลาดจะสงสัยว่าจะรู้ได้อย่างไรว่าซอฟต์แวร์นี้ถูกต้องตามกฎหมาย นี่เป็นคำถามที่ดีและหากหน้าดาวน์โหลดนี้ใช้งานไม่ได้ ขั้นตอนทั้งหมดที่ตามมาก็จะไร้ประโยชน์

โชคดีที่นักพัฒนาซอฟต์แวร์ Gpg4win ประสบปัญหาในการรับซอฟต์แวร์ที่ลงนามโดยหน่วยงานออกใบรับรอง และให้รายละเอียดขั้นตอนในการตรวจสอบโปรแกรมของเขาบนเว็บไซต์ แม้ว่าจะใช้การเข้ารหัสเดียวกันเพื่อตรวจสอบความถูกต้อง แต่วิธีการโดยรวมจะแตกต่างออกไป มีการใช้ใบรับรองดิจิทัลสำหรับสิ่งนี้

ยืนยันการตรวจสอบไฟล์

สมมติว่าคุณต้องการดาวน์โหลด กระเป๋า เงินBitcoin Coreดาวน์โหลดไฟล์ปฏิบัติการ Windows x64 ( exeไม่ใช่zip ) จากนั้นคลิก “ ตรวจสอบลายเซ็นกา���เผยแพร่ ” เพื่อดาวน์โหลดไฟล์ SHA256SUMS.ascขั้นตอนแรกคือการตรวจสอบแฮชของไฟล์ติดตั้ง

ไปที่โฟลเดอร์ดาวน์โหลดและเมื่อติดตั้ง Gpg4win แล้ว คุณสามารถคลิกขวาที่ไฟล์แล้วเมนูบริบทใหม่จะปรากฏขึ้น คลิกขวาที่ไฟล์การติดตั้ง Bitcoin ( exeที่คุณดาวน์โหลด) แล้วเลือกMore GpgEX Options > Create checksumsเหมือนในภาพด้านล่าง

เปิดทั้ง ไฟล์ sha256sum.txtที่สร้างขึ้น และไฟล์ SHA256SUMS.ascที่ดาวน์โหลด เปรียบเทียบผลรวมตรวจสอบ SHA256 และควรจะเหมือนกัน

ตรวจสอบลายเซ็นไฟล์รายการตรวจสอบ

แม้ว่าคุณจะเพิ่งดาวน์โหลดไฟล์การตั้งค่าและรายการตรวจสอบผลรวมจากเว็บไซต์เดียวกัน หากผู้โจมตีแทนที่ไฟล์การตั้งค่า เขาก็สามารถเปลี่ยนรายการตรวจสอบผลรวมได้อย่างง่ายดายเช่นกัน อย่างไรก็ตาม แฮกเกอร์ไม่สามารถปลอมลายเซ็นได้ ซึ่งสามารถยืนยันได้ด้วยรหัสสาธารณะที่รู้จัก (ถูกต้องตามกฎหมาย) ขั้นแรก คุณต้องดาวน์โหลดคีย์นี้

รูปภาพลายเซ็นมีลักษณะดังนี้:

นี่คือลายเซ็นแบบอินไลน์ (รวมอยู่ในไฟล์เดียวกับที่ตรวจสอบ) บางครั้งลายเซ็นนี้จะถูกแยกและวางไว้ในไฟล์แยกต่างหาก หากคุณเปลี่ยนตัวอักษรเพียงตัวเดียวในไฟล์ข้อความนี้ ลายเซ็นจะใช้ไม่ได้อีกต่อไป นี่เป็นวิธีที่จะทราบได้อย่างแน่นอนว่านักพัฒนาได้อนุมัติและลงนามในเนื้อหาเฉพาะเจาะจงเหล่านี้ด้วยผลรวมที่ถูกต้อง

ป้อนรหัสสาธารณะของนักพัฒนา

คุณมีกุญแจสาธารณะพร้อมให้ดาวน์โหลดในส่วน “ Bitcoin Core Release Signing Keys ” ในหน้าดาวน์โหลดของ Bitcoin เพื่อเป็นการป้องกันไว้ก่อน คุณสามารถดาวน์โหลดได้จากแหล่งอื่น หากผู้โจมตีแทนที่คีย์ที่ถูกต้องด้วยคีย์ส่วนตัวของเขา คุณจะพบคีย์ที่ถูกต้อง (และลายนิ้วมือ) ในตำแหน่งอื่นๆ ทั้งหมดที่โพสต์หรือพูดคุยกัน

คลิกขวาที่SHA256SUMS.ascและเลือกDecrypt and Verify โปรแกรมจะบอกคุณว่าคุณไม่มีรหัสสาธารณะ คลิกค้นหา

การค้นหาอาจใช้เวลาสักครู่ สังเกตสตริงในช่องค้นหา

คุณสามารถคัดลอกและวางลงใน Google เพื่อดูลายนิ้วมือของคีย์สาธารณะที่มีการพูดคุยกันบนเว็บไซต์หรือฟอรัมที่ถูกต้องตามกฎหมาย ยิ่งคุณพบกุญแจสาธารณะนี้มากเท่าไร คุณก็ยิ่งมั่นใจได้ว่ามันเป็นของเจ้าของที่ถูกต้องมากขึ้นเท่านั้น

คลิกที่ปุ่มแล้วป้อน คุณสามารถคลิก ไม่ ในข้อความแจ้งที่คุณได้รับถัดไป (ใช้มาตรการเพื่อยืนยันรหัส) หากคุณไม่ทราบวิธีหรือไม่ต้องการดำเนินการในตอนนี้

สุดท้าย คลิกแสดงบันทึกการตรวจสอบ

คุณจะเห็น ข้อความลายเซ็นที่ดีถูกเน้นไว้ในรูปภาพถัดไป

ลองเปลี่ยนตัวอักษรเพียงตัวเดียวในSHA256SUMS.ascแล้วคุณจะได้ผลลัพธ์ดังที่ปรากฎในภาพต่อไปนี้

นักพัฒนาเพียงไม่กี่รายเท่านั้นที่ให้ความสามารถในการตรวจสอบว่าซอฟต์แวร์มาจากพวกเขาหรือไม่ แต่โดยปกติแล้วโปรแกรมที่จัดการข้อมูลที่ละเอียดอ่อนหรือสำคัญมากจะให้ตัวเลือกนี้แก่คุณ ใช้ตัวเลือกการตรวจสอบลายเซ็นดิจิทัลและอาจช่วยให้คุณพ้นจากปัญหาได้สักวันหนึ่ง

หวังว่าคุณจะประสบความสำเร็จ