Paano Mag-Verify ng PGP Signature: Kumpletong Gabay

onion ads platform Ads: Start using Onion Mail
Free encrypted & anonymous email service, protect your privacy.
https://onionmail.org
by Traffic Juicy

# Paano Mag-Verify ng PGP Signature: Kumpletong Gabay

Sa digital na mundo ngayon, mahalaga ang seguridad at pagiging tunay ng mga dokumento at mensahe. Ang Pretty Good Privacy (PGP) ay isang widely used na pamamaraan para sa encryption at digital signing. Ang digital signature, na ginawa gamit ang PGP, ay nagbibigay ng katiyakan na ang isang file o mensahe ay tunay na nagmula sa nagpadala at hindi binago simula nang ito’y ipadala. Ang pag-verify ng PGP signature ay isang mahalagang kasanayan para sa sinumang tumatanggap ng mga sensitibong impormasyon online, lalo na kung ito ay may kinalaman sa software, legal na dokumento, o kumpidensyal na komunikasyon.

Ang gabay na ito ay magtuturo sa iyo ng mga hakbang kung paano mag-verify ng PGP signature gamit ang iba’t ibang tools at pamamaraan. Magsisimula tayo sa mga pangunahing konsepto at pagkatapos ay tutungo tayo sa detalyadong instruksyon. Kaya, halika na’t tuklasin ang mundo ng PGP signature verification!

Ano ang PGP Signature?

Bago tayo dumako sa mga hakbang, unawain muna natin kung ano ang PGP signature at kung bakit ito mahalaga.

Ang PGP signature ay isang digital na pirma na ikinakabit sa isang file o mensahe gamit ang PGP software. Ito ay ginagawa gamit ang private key ng nagpadala. Kapag natanggap mo ang file o mensahe kasama ang signature, maaari mong gamitin ang public key ng nagpadala upang i-verify ang signature. Ang prosesong ito ay gumagamit ng cryptography upang masiguro ang sumusunod:

  • Authentication: Pinapatunayan na ang nagpadala ang siyang nag-sign ng dokumento.
  • Integrity: Tinitiyak na ang dokumento ay hindi binago pagkatapos itong i-sign. Kung may pagbabago, magfa-fail ang verification.
  • Non-repudiation: Ang nagpadala ay hindi maaaring itanggi na siya ang nag-sign ng dokumento.

Kung ang signature ay verified successfully, nangangahulugan ito na ang file o mensahe ay tunay at hindi binago. Kung hindi mag-verify, dapat kang maging maingat at huwag magtiwala sa nilalaman.

Mga Kinakailangan Bago Mag-Simula

Bago tayo magsimula sa proseso ng verification, siguraduhin na mayroon ka ng mga sumusunod:

  • PGP Software: Kailangan mo ng PGP software na naka-install sa iyong computer. Mayroong maraming available, tulad ng GnuPG (GPG), GPG4Win (para sa Windows), at OpenPGP para sa macOS.
  • Public Key ng Nagpadala: Kailangan mo ng public key ng nagpadala upang ma-verify ang signature. Karaniwan itong ibinibigay kasama ng file o mensahe, o kaya naman ay makukuha sa key server.
  • Ang File o Mensahe: Syempre, kailangan mo ng file o mensahe na gustong mong i-verify.
  • Ang Signature File: Ito ang file na naglalaman ng digital signature. Madalas itong may extension na .sig o .asc. Kung minsan, ang signature ay naka-embed sa loob ng file o mensahe.

Hakbang-Hakbang na Gabay sa Pag-Verify ng PGP Signature

Narito ang mga hakbang kung paano mag-verify ng PGP signature. Ito ay batay sa paggamit ng GnuPG (GPG), na isa sa mga pinakasikat na PGP software.

1. Pag-Install ng GnuPG (GPG)

Kung wala ka pang GnuPG, kailangan mo itong i-install. Narito ang mga paraan kung paano ito gawin sa iba’t ibang operating system:

  • Windows: I-download at i-install ang GPG4Win mula sa GPG4Win website. Sundin ang mga instruction sa installation wizard.
  • macOS: Maaari mong gamitin ang Homebrew para i-install ang GPG. Buksan ang Terminal at i-type ang command na ito: brew install gnupg. Kung wala kang Homebrew, i-install mo muna ito.
  • Linux: Karaniwan nang naka-install ang GPG sa mga Linux distributions. Kung wala, maaari mo itong i-install gamit ang package manager. Halimbawa, sa Ubuntu o Debian, gamitin ang command na ito: sudo apt-get install gnupg. Sa Fedora, gamitin ang sudo dnf install gnupg.

Pagkatapos ng installation, siguraduhin na ang GPG ay nasa iyong system path. Maaari mong i-verify ito sa pamamagitan ng pagbubukas ng command prompt o terminal at pag-type ng gpg --version. Dapat itong magpakita ng version number ng GPG.

2. Import ang Public Key ng Nagpadala

Kailangan mong i-import ang public key ng nagpadala sa iyong keyring. Mayroong ilang paraan para gawin ito:

A. Import mula sa File

Kung natanggap mo ang public key bilang isang file (karaniwan ay may extension na .asc o .gpg), maaari mo itong i-import gamit ang command na ito:

gpg --import path/to/public_key.asc

Palitan ang path/to/public_key.asc ng tamang path sa iyong file.

Pagkatapos ng import, dapat mong makita ang mensahe na nagpapakita na ang key ay na-import successfully.

B. Import mula sa Key Server

Maaari mo ring i-import ang public key mula sa isang key server kung alam mo ang key ID o email address ng nagpadala. Gamitin ang command na ito:

gpg --keyserver hkps://keys.openpgp.org --search-keys [email protected]

Palitan ang [email protected] ng email address ng nagpadala. Lilitaw ang mga resulta ng paghahanap. Piliin ang tamang key at i-import ito.

Maaari mo ring gamitin ang key ID:

gpg --keyserver hkps://keys.openpgp.org --recv-keys KEY_ID

Palitan ang KEY_ID ng key ID ng nagpadala.

Mahalaga: Siguraduhin na ang key na ini-import mo ay tunay na pagmamay-ari ng nagpadala. I-verify ang fingerprint ng key sa pamamagitan ng ibang channel ng komunikasyon, tulad ng telepono o personal na pag-uusap.

3. I-Verify ang Signature

Ngayon, handa ka nang i-verify ang signature. Mayroong dalawang pangunahing paraan para gawin ito:

A. I-Verify gamit ang Separate Signature File

Kung mayroon kang separate signature file (karaniwan ay may extension na .sig o .asc), gamitin ang command na ito:

gpg --verify signature_file.sig original_file

Palitan ang signature_file.sig ng pangalan ng signature file at original_file ng pangalan ng file na gustong mong i-verify.

Halimbawa:

gpg --verify document.pdf.sig document.pdf

B. I-Verify ang In-line Signature

Kung ang signature ay naka-embed sa loob ng file (ASCII armored format), maaari mong i-verify ito gamit ang command na ito:

gpg --verify file_with_signature.asc

Palitan ang file_with_signature.asc ng pangalan ng file na naglalaman ng signature.

Halimbawa:

gpg --verify message.txt.asc

4. Interprete ang Resulta ng Verification

Pagkatapos ng verification, ipapakita ng GPG ang resulta. Narito ang mga posibleng resulta at kung ano ang ibig sabihin ng mga ito:

  • “Good signature from …”: Ito ang pinakamagandang resulta. Nangangahulugan ito na ang signature ay valid at ang file ay hindi binago simula nang ito’y i-sign. Ipapakita rin nito ang pangalan at email address ng nag-sign.
  • “WARNING: This key is not certified with a trusted signature!”: Ipinapahiwatig nito na hindi mo pa nabe-verify ang pagiging tunay ng public key ng nagpadala. Ito ay hindi nangangahulugan na ang signature ay invalid, pero dapat kang maging maingat at i-verify ang fingerprint ng key sa pamamagitan ng ibang channel.
  • “BAD signature from …”: Nangangahulugan ito na ang signature ay invalid. Maaaring ang file ay binago pagkatapos itong i-sign, o kaya naman ay ang signature ay hindi tunay. Huwag magtiwala sa nilalaman ng file.
  • “gpg: no valid OpenPGP data found.”: Nangangahulugan ito na ang GPG ay hindi makahanap ng valid na PGP signature sa file. Siguraduhin na ang file ay tama at naglalaman ng signature.
  • “gpg: can’t open ‘filename’: No such file or directory”: Nangangahulugan ito na ang file na tinukoy mo ay hindi موجود. Siguraduhin na tama ang path at pangalan ng file.

5. Pag-Trust sa Public Key (Opsyonal)

Kung regular kang tumatanggap ng mga file mula sa isang partikular na nagpadala, maaari mong itakda ang kanilang public key bilang “trusted” sa iyong keyring. Ito ay mag-aalis ng warning message na “This key is not certified with a trusted signature!” sa susunod na mag-verify ka ng signature. Pero maging maingat sa paggawa nito at siguraduhin na ang key ay tunay na pagmamay-ari ng nagpadala.

Para i-trust ang isang key, kailangan mo itong i-edit gamit ang command na ito:

gpg --edit-key KEY_ID

Palitan ang KEY_ID ng key ID ng nagpadala.

Pagkatapos, i-type ang trust at sundin ang mga prompt. Piliin ang antas ng tiwala na gusto mong ibigay sa key. Karaniwan, ang “ultimate” trust ay ibinibigay lamang sa mga key na ikaw mismo ang gumawa at pinamamahalaan.

I-type ang save para i-save ang mga pagbabago.

Mga Advanced na Tip at Troubleshooting

Narito ang ilang mga advanced na tip at troubleshooting advice para sa pag-verify ng PGP signature:

  • Siguraduhin ang Tamang Time: Ang oras sa iyong computer ay dapat na tama. Kung ang oras ay mali, maaaring mag-fail ang verification dahil sa mga isyu sa timestamp ng signature.
  • I-Update ang GPG: Siguraduhin na mayroon kang pinakabagong version ng GPG. Ang mga lumang version ay maaaring may mga bug o security vulnerabilities.
  • I-Verify ang Fingerprint: Bago magtiwala sa isang public key, i-verify ang fingerprint nito sa pamamagitan ng ibang channel ng komunikasyon. Ito ay magtitiyak na ang key ay tunay na pagmamay-ari ng nagpadala.
  • Gumamit ng GUI Tools: Kung hindi ka komportable sa command line, maaari kang gumamit ng GUI tools para sa pag-verify ng PGP signature. Halimbawa, ang GPA (GPG Applet) ay isang GUI para sa GPG na available para sa Linux. Ang GPG4Win ay may kasamang GUI tools para sa Windows.
  • Huwag Mag-Download ng Keys Mula sa Hindi Kilalang Sources: Iwasan ang pag-download ng public keys mula sa mga hindi kilalang sources. Maaaring ang mga key na ito ay peke at ginagamit para sa malicious purposes.
  • Mag-ingat sa Key Server Attacks: Ang mga key server ay maaaring maging target ng attacks. Ang isang attacker ay maaaring mag-upload ng mga pekeng key na may parehong email address. Kaya, laging i-verify ang fingerprint ng key.

Mga Karagdagang Tools at Resources

Bukod sa GPG, mayroon ding ibang tools at resources na maaari mong gamitin para sa pag-verify ng PGP signature:

  • Keybase: Ang Keybase ay isang platform na nagbibigay-daan sa iyong i-link ang iyong mga online identities (tulad ng Twitter, GitHub, at website) sa iyong PGP key. Ito ay nagpapadali sa pag-verify ng pagiging tunay ng mga public key.
  • OpenPGP Best Practices: Sundin ang OpenPGP best practices para masiguro ang seguridad ng iyong mga key at signature.
  • Online PGP Verification Tools: Mayroong mga online tools na nagbibigay-daan sa iyong i-verify ang PGP signature. Pero maging maingat sa paggamit ng mga ito, dahil maaaring hindi secure ang pag-upload ng iyong mga file sa mga hindi kilalang websites.

Konklusyon

Ang pag-verify ng PGP signature ay isang mahalagang kasanayan para sa sinumang nagtatrabaho sa mga digital na dokumento at komunikasyon. Sa pamamagitan ng pagsunod sa mga hakbang na nabanggit sa gabay na ito, maaari mong masiguro ang pagiging tunay at integridad ng mga file at mensahe na iyong natatanggap. Tandaan na laging maging maingat at i-verify ang fingerprint ng mga public key bago magtiwala sa mga ito. Sa pamamagitan ng tamang pag-iingat, maaari mong maprotektahan ang iyong sarili laban sa mga pekeng dokumento at malicious attacks.

Huwag kalimutan na ang seguridad ay isang patuloy na proseso. Regular na i-update ang iyong software at sundin ang best practices para mapanatili ang iyong seguridad online.

onion mail
0 0 votes
Article Rating
Subscribe
Notify of
0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments