ทุกครั้งที่คุณดาวน์โหลดโปรแกรมจากอินเทอร์เน็ต คุณต้องเชื่อใจผู้พัฒนาว่าโปรแกรมไม่เป็นอันตราย ไม่มีทางรอบที่ แต่นี่ไม่ใช่ปัญหา โดยเฉพาะอย่างยิ่งกับซอฟต์แวร์และนักพัฒนาที่มีชื่อเสียง
อย่างไรก็ตาม เว็บไซต์ที่โฮสต์ซอฟต์แวร์มีความเสี่ยงมากกว่า ผู้โจมตีสามารถทำลายความปลอดภัยของเว็บไซต์และแทนที่โปรแกรมด้วยเวอร์ชันที่เป็นอันตรายของตนเอง สิ่งนี้ดูและใช้งานได้เหมือนของจริงทุกประการ ยกเว้นว่ามีประตูหลังที่เสียบอยู่ ด้วยแบ็คดอร์นี้ ผู้โจมตีสามารถควบคุมส่วนต่างๆ ของการประมวลผลแบบวันต่อวันตามปกติของคุณได้ คอมพิวเตอร์ของคุณเสียบอยู่ในบ็อตเน็ต หรือแย่กว่านั้น โปรแกรมอรรถประโยชน์จะรอจนกว่าคุณจะใช้บัตรเครดิต/เดบิตของคุณและขโมยข้อมูลประจำตัว คุณควรระมัดระวังเป็นพิเศษเมื่อดาวน์โหลดซอฟต์แวร์ที่สำคัญ เช่น ระบบปฏิบัติการ กระเป๋าเงินดิจิตอล หรือที่คล้ายกัน
ลายเซ็นดิจิทัลช่วยชีวิตได้
นักเขียนซอฟต์แวร์สามารถลงนามในผลิตภัณฑ์ของตนได้ เว้นแต่ผู้โจมตีจะขโมยคีย์ส่วนตัวได้ ก็ไม่มีทางรู้ว่าใครจะปลอมแปลงลายเซ็นนี้ได้ มีหลายกรณีที่ผู้ใช้หลายพันคนดาวน์โหลดโปรแกรมที่เป็นอันตราย และในเกือบทุกกรณี ถ้าพวกเขาจะตรวจสอบลายเซ็นดิจิทัล พวกเขาจะสังเกตเห็นว่าโปรแกรมเหล่านี้ไม่ถูกต้อง ดังนั้นจึงหลีกเลี่ยงสถานการณ์ดังกล่าวได้ การเปลี่ยนซอฟต์แวร์บนเว็บไซต์ที่มีช่องโหว่นั้นค่อนข้างง่าย แต่เป็นการขโมยคีย์ส่วนตัวที่จัดเก็บอย่างเหมาะสมและแยกจากการเข้าถึงอินเทอร์เน็ตได้ยากอย่างเหลือเชื่อ
คุณสามารถอ่านเพิ่มเติมเกี่ยวกับลายเซ็นดิจิทัลได้ที่นี่ บทความนี้กล่าวถึงสิ่งเดียวกัน เว้นแต่คุณจะใช้ยูทิลิตี้ Windows เพื่อตรวจสอบการดาวน์โหลด
วิธีใช้ Gpg4win เพื่อตรวจสอบลายเซ็นดิจิทัล
ไปที่หน้านี้และดาวน์โหลดและติดตั้ง Gpg4win คนฉลาดจะถามตัวเองว่า “แต่ฉันจะรู้ได้อย่างไรว่าสิ่งนี้ถูกต้อง” และเป็นคำถามที่ดี หากสิ่งนี้จะพัง ขั้นตอนต่อมาทั้งหมดก็จะไร้ประโยชน์
โชคดีที่นักพัฒนาได้ผ่านปัญหาทั้งหมดเพื่อให้ซอฟต์แวร์ของเขาลงนามโดยผู้ออกใบรับรอง และเขาให้รายละเอียดขั้นตอนในการยืนยันโปรแกรมบนเว็บไซต์ของเขา แม้ว่าจะใช้การเข้ารหัสที่คล้ายกันเพื่อตรวจสอบความถูกต้อง แต่วิธีการโดยรวมก็ต่างกัน ใบรับรองดิจิทัลใช้สำหรับสิ่งนี้
ตรวจสอบเช็คซัมไฟล์
สมมติว่าคุณต้องการดาวน์โหลดกระเป๋าเงิน Bitcoin Core ดาวน์โหลด x64 Windows executable (exe ไม่ใช่ zip) หลังจากนั้น ให้คลิกที่ “ยืนยันลายเซ็นการเปิดตัว” เพื่อดาวน์โหลดไฟล์ “SHA256SUMS.asc” ขั้นตอนแรกคือการตรวจสอบแฮชของไฟล์ติดตั้ง คุณสามารถอ่านเพิ่มเติมเกี่ยวกับแฮชได้ที่นี่
ไปที่โฟลเดอร์ดาวน์โหลดของคุณ และเมื่อติดตั้ง Gpg4win แล้ว คุณสามารถคลิกขวาที่ไฟล์ แล้วเมนูบริบทใหม่จะปรากฏขึ้น คลิกขวาที่ไฟล์ติดตั้ง Bitcoin (ไฟล์ exe ที่คุณดาวน์โหลดมา) แล้วเลือก “ตัวเลือก GpgEX เพิ่มเติม -> สร้างเช็คซัม” ดังรูปด้านล่าง
เปิดทั้ง “sha256sum.txt” ที่สร้างขึ้นและ “SHA256SUMS.asc” ที่คุณดาวน์โหลด เปรียบเทียบเช็คซัม SHA256 พวกเขาควรจะเป็นคู่ที่สมบูรณ์แบบ
ตรวจสอบลายเซ็นของไฟล์ที่แสดงรายการ Checksums
ในขณะที่คุณเพิ่งดาวน์โหลดไฟล์ติดตั้งและรายการเช็คซัมจากเว็บไซต์เดียวกัน หากผู้โจมตีแทนที่ไฟล์ติดตั้ง เขาก็สามารถเปลี่ยนรายการเช็คซัมได้อย่างง่ายดายเช่นกัน อย่างไรก็ตาม สิ่งที่เขาทำไม่ได้ก็คือการปลอมลายเซ็น ที่สามารถตรวจสอบได้ด้วยกุญแจสาธารณะที่ทราบ (ถูกต้องตามกฎหมาย) ก่อนอื่น คุณต้องดาวน์โหลดคีย์นี้
รูปภาพต่อไปนี้เป็นลักษณะลายเซ็น
นี่คือลายเซ็นแบบอินไลน์ (รวมอยู่ในไฟล์เดียวกับที่ตรวจสอบความถูกต้อง) บางครั้งสิ่งนี้จะถูกแยกออก รวมอยู่ในไฟล์แยกต่างหาก หากคุณเปลี่ยนตัวอักษรเพียงตัวเดียวในไฟล์ข้อความนี้ ลายเซ็นจะไม่ถูกต้อง นี่เป็นวิธีการทราบว่านักพัฒนาซอฟต์แวร์อนุมัติและลงนามในเนื้อหาเฉพาะเจาะจงเหล่านี้ด้วยผลรวมตรวจสอบที่ถูกต้อง
นำเข้ากุญแจสาธารณะของผู้พัฒนา
คุณมีคีย์สาธารณะพร้อมให้ดาวน์โหลดภายใต้ “คีย์การลงนามของ Bitcoin Core” ในหน้าดาวน์โหลดของ Bitcoin เพื่อเป็นการป้องกันไว้ก่อน คุณสามารถดาวน์โหลดได้จากแหล่งอื่น หากผู้โจมตีเปลี่ยนกุญแจที่ถูกต้องด้วยตัวเขาเอง เราอาจจะพบกุญแจที่ถูกต้อง (และลายนิ้วมือ) ในสถานที่อื่นๆ ทั้งหมดที่มีการโพสต์หรือพูดคุยกัน
คลิกขวาที่ “SHA256SUMS.asc” แล้วเลือก “ถอดรหัสและยืนยัน” โปรแกรมจะบอกคุณว่าคุณยังไม่มีกุญแจสาธารณะ คลิกที่ “ค้นหา”
การค้นหาอาจใช้เวลาสักครู่ สังเกตสตริงในช่อง "ค้นหา"
คุณสามารถคัดลอกและวางลงใน Google เพื่อดูว่าลายนิ้วมือของคีย์สาธารณะนี้มีการพูดคุยกันในกระทู้/เว็บไซต์ของฟอรัมที่ถูกต้องหรือไม่ ฯลฯ ยิ่งคุณพบที่ต่างๆ มากเท่าใด คุณก็ยิ่งแน่ใจได้ว่าเป็นของเจ้าของที่ต้องการมากเท่านั้น
คลิกที่คีย์แล้วนำเข้า คุณสามารถคลิก "ไม่" ในข้อความแจ้งที่คุณได้รับ (ใช้มาตรการเพื่อรับรองคีย์) หากคุณไม่ทราบวิธีการหรือไม่ต้องการทำเช่นนี้ในตอนนี้
สุดท้าย ให้คลิกที่ “แสดงบันทึกการตรวจสอบ”
คุณควรเห็นข้อความที่ไฮไลต์ในภาพถัดไป “ลายเซ็นที่ดี”
ลองเปลี่ยนตัวอักษรเพียงตัวเดียวใน “SHA256SUMS.asc” แล้วคุณจะได้สิ่งที่ปรากฎในภาพต่อไปนี้
บทสรุป
นักพัฒนาซอฟต์แวร์เพียงไม่กี่รายเปิดโอกาสให้คุณตรวจสอบว่าซอฟต์แวร์ของพวกเขามาจากพวกเขา แต่โดยปกติโปรแกรมที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อนหรือมีความสำคัญมากจะเสนอตัวเลือกนี้ให้คุณ ใช้แล้วมันอาจจะช่วยคุณจากปัญหาสักวัน
