Mỗi khi tải xuống một chương trình từ Internet, bạn phải tin tưởng nhà phát triển rằng chương trình đó không độc hại. Không có cách nào xung quanh điều đó. Nhưng thông thường đây không phải là vấn đề, đặc biệt là với phần mềm và nhà phát triển nổi tiếng.
Tuy nhiên, các trang web lưu trữ phần mềm dễ bị tấn công hơn. Những kẻ tấn công có thể phá hoại sự bảo mật của một trang web và thay thế các chương trình bằng phiên bản độc hại của riêng chúng. Điều này trông và hoạt động giống hệt như bản gốc, ngoại trừ nó có một cửa hậu được chèn vào. Với cửa hậu này, những kẻ tấn công có thể kiểm soát các phần khác nhau của máy tính bình thường hàng ngày của bạn. Máy tính của bạn đã được đưa vào một mạng botnet, hoặc tệ hơn, tiện ích sẽ đợi cho đến khi bạn sử dụng thẻ tín dụng / thẻ ghi nợ của mình và đánh cắp thông tin đăng nhập của nó. Bạn nên đặc biệt cẩn thận khi tải xuống phần mềm quan trọng như hệ điều hành, ví tiền điện tử hoặc tương tự.
Chữ ký kỹ thuật số có thể lưu lại cả ngày
Người viết phần mềm có thể ký vào sản phẩm của họ. Trừ khi kẻ tấn công có thể đánh cắp khóa cá nhân của họ, không có cách nào để ai đó có thể giả mạo chữ ký này. Có rất nhiều trường hợp hàng nghìn người dùng đã tải xuống các chương trình độc hại và trong hầu hết mọi trường hợp, nếu họ kiểm tra chữ ký điện tử, họ sẽ nhận thấy rằng chúng không hợp lệ, do đó sẽ tránh được tình huống này. Việc thay thế phần mềm trên một trang web dễ bị tấn công là tương đối dễ dàng nhưng lại cực kỳ khó để đánh cắp khóa cá nhân được lưu trữ đúng cách và cách ly khỏi quyền truy cập Internet.
Bạn có thể đọc thêm về chữ ký điện tử tại đây. Bài viết này thảo luận về vấn đề tương tự, ngoại trừ việc bạn sẽ sử dụng các tiện ích của Windows để xác thực tải xuống.
Cách sử dụng Gpg4win để xác minh chữ ký kỹ thuật số
Truy cập trang này và tải xuống và cài đặt Gpg4win. Những người thông minh sẽ tự hỏi mình, "Nhưng làm thế nào để tôi biết rằng điều này là hợp pháp?" Và đó là một câu hỏi hay. Nếu điều này bị hỏng, thì tất cả các bước sau đó sẽ vô ích.
May mắn thay, nhà phát triển đã vượt qua mọi khó khăn để phần mềm của mình được cơ quan cấp chứng chỉ ký. Và anh ấy nêu chi tiết các bước để xác minh chương trình của mình trên trang web của mình. Mặc dù mật mã tương tự được sử dụng để kiểm tra tính hợp lệ, nhưng phương pháp tổng thể là khác nhau. Chứng chỉ kỹ thuật số được sử dụng cho việc này.
Xác minh Kiểm tra Tệp
Giả sử bạn muốn tải xuống ví Bitcoin Core. Tải xuống tệp thực thi Windows x64 (exe, không phải zip). Sau đó, nhấp vào “Xác minh chữ ký phát hành” để tải xuống tệp “SHA256SUMS.asc”. Bước đầu tiên là xác minh hàm băm của tệp thiết lập. Bạn có thể đọc thêm về hàm băm tại đây.
Đi tới thư mục tải xuống của bạn và với Gpg4win đã được cài đặt, bây giờ bạn có thể nhấp chuột phải vào tệp và menu ngữ cảnh mới sẽ xuất hiện. Nhấp chuột phải vào tệp thiết lập Bitcoin (exe bạn đã tải xuống) và chọn “Thêm tùy chọn GpgEX -> Tạo tổng kiểm tra,” như trong hình bên dưới.
Mở cả “sha256sum.txt” đã được tạo và “SHA256SUMS.asc” mà bạn đã tải xuống. So sánh các tổng kiểm tra SHA256. Họ phải là một kết hợp hoàn hảo.
Kiểm tra Chữ ký của Tệp liệt kê Kiểm tra
Trong khi bạn vừa tải xuống tệp thiết lập và danh sách tổng kiểm tra từ cùng một trang web, nếu kẻ tấn công thay thế tệp thiết lập, thì hắn cũng có thể dễ dàng thay thế danh sách tổng kiểm tra. Tuy nhiên, điều anh ta không thể làm là giả mạo chữ ký. Điều đó có thể được xác thực bởi một khóa công khai (hợp pháp) đã biết. Trước tiên, bạn cần tải xuống khóa này.
Hình ảnh sau đây là một chữ ký trông như thế nào.
Đây là chữ ký nội dòng (có trong cùng một tệp mà nó xác thực). Đôi khi điều này sẽ được tách ra, đưa vào một tệp riêng biệt. Nếu bạn chỉ thay đổi một chữ cái trong tệp văn bản này, chữ ký sẽ không hợp lệ. Đây là một cách để biết rằng nhà phát triển đã phê duyệt và ký những nội dung cụ thể, chính xác này với tổng kiểm tra chính xác.
Nhập khóa công khai của nhà phát triển
Bạn có các khóa công khai có sẵn để tải xuống trong “Khóa ký phát hành Bitcoin Core” trong trang tải xuống của Bitcoin. Để phòng ngừa, bạn có thể tải chúng xuống từ một nguồn khác. Nếu kẻ tấn công thay thế các chìa khóa hợp pháp bằng chìa khóa của chính mình, rất có thể chúng tôi sẽ tìm thấy chìa khóa chính xác (và dấu vân tay) ở tất cả những nơi khác mà chúng đã được đăng hoặc thảo luận.
Nhấp chuột phải vào “SHA256SUMS.asc” và chọn “Giải mã và xác minh”. Chương trình sẽ cho bạn biết bạn chưa có khóa công khai. Nhấp vào “Tìm kiếm”.
Việc tìm kiếm có thể mất một lúc. Lưu ý chuỗi trong trường "Tìm".
Bạn có thể sao chép tệp này và dán vào Google để xem liệu tệp tham chiếu khóa công khai này có được thảo luận trên các chủ đề / trang web diễn đàn hợp pháp hay không, v.v. Bạn càng tìm thấy nhiều nơi, bạn càng có thể chắc chắn rằng tệp đó thuộc về chủ sở hữu dự định.
Bấm vào khóa và sau đó nhập nó. Bạn có thể nhấp vào “Không” trong lời nhắc tiếp theo (thực hiện các biện pháp để xác nhận khóa) nếu bạn không biết cách hoặc không muốn thực hiện việc này ngay bây giờ.
Cuối cùng, nhấp vào “Hiển thị nhật ký kiểm tra”.
Bạn sẽ thấy văn bản đã được đánh dấu trong hình tiếp theo, “Chữ ký tốt.”
Cố gắng chỉ thay đổi một chữ cái trong “SHA256SUMS.asc” và bạn sẽ nhận được những gì được mô tả trong hình ảnh sau đây.
Kết luận
Rất ít nhà phát triển cung cấp cho bạn khả năng kiểm tra xem phần mềm của họ có xuất xứ từ họ hay không. Nhưng thông thường các chương trình xử lý dữ liệu nhạy cảm hoặc rất quan trọng sẽ cung cấp cho bạn tùy chọn này. Hãy sử dụng nó và nó có thể giúp bạn thoát khỏi rắc rối vào một ngày nào đó.