الرئيسية / لينكس / المفاهيم الأساسية وأدوات حماية تكامل الشفرة باستخدام PGP
المفاهيم الأساسية وأدوات حماية تكامل الشفرة باستخدام PGP
المفاهيم الأساسية وأدوات حماية تكامل الشفرة باستخدام PGP

المفاهيم الأساسية وأدوات حماية تكامل الشفرة باستخدام PGP

المفاهيم الأساسية وأدوات حماية تكامل الشفرة باستخدام PGP

 

تعلم أساسيات PGP وأفضل الممارسات

مفاهيم وأدوات PGP الأساسية:

قائمة تدقيق

فهم دور PGP في تطوير البرمجيات الحرة (ESSENTIAL)

فهم أساسيات تشفير المفتاح العام (أساسي)

فهم تشفير PGP مقابل التواقيع (ضروري)

فهم هويات مفتاح PGP (أساسي)

فهم صلاحية مفتاح PGP (أساسي)

تثبيت الأدوات المساعدة GnuPG (الإصدار 2.x) (ضروري)

 

الاعتبارات:

اعتمد مجتمع البرمجيات الحرة منذ فترة طويلة على PGP لضمان صحة وسلامة منتجات البرمجيات التي أنتجتها.

قد لا تكون على دراية بذلك ، ولكن سواء كنت من مستخدمي Linux أو Mac أو Windows ، فقد اعتمدت في السابق على PGP لضمان سلامة بيئة الحوسبة لديك:

تعتمد توزيعات Linux على PGP لضمان عدم تغيير الحزم الثنائية أو المصدر بين وقت إنتاجها وتثبيتها بواسطة المستخدم النهائي.

عادةً ما توفر مشاريع البرامج المجانية تواقيع PGP منفصلة لمرافقة أرشيفات البرامج التي تم إصدارها ،

بحيث يمكن للمشاريع المتلقية للمعلومات التحقق من سلامة الإصدارات التي تم تنزيلها قبل دمجها في التنزيلات الموزعة الخاصة بها.

تعتمد مشاريع البرمجيات الحرة بشكل روتيني على تواقيع PGP داخل الكود نفسه من أجل تتبع الأصل والتحقق من سلامة الشفرة التي يرتكبها مطورو المشروع.

هذا يشبه إلى حد كبير شهادات مطور / آليات توقيع الكود المستخدمة من قبل المبرمجين الذين يعملون على منصات الملكية.

في الواقع ، فإن المفاهيم الأساسية وراء هاتين التقنيتين متشابهة إلى حد كبير – فهي تختلف في الغالب في الجوانب الفنية للتنفيذ والطريقة التي يفوضون بها الثقة.

لا تعتمد PGP على المراجع المصدقة المركزية ، ولكن بدلاً من ذلك تتيح لكل مستخدم تعيين ثقته الخاصة لكل شهادة.

هدفنا هو جعل مشروعك على متن الطائرة باستخدام PGP لتتبع أصل الشفرة وتكاملها ، باتباع أفضل الممارسات ومراعاة احتياطات الأمان الأساسية.

المفاهيم الأساسية وأدوات حماية تكامل الشفرة باستخدام PGP
المفاهيم الأساسية وأدوات حماية تكامل الشفرة باستخدام PGP

فهم صلاحية المفتاح

لتتمكن من استخدام المفتاح العام لشخص آخر للتشفير أو التحقق ،

عليك التأكد من أنه ينتمي فعليًا إلى الشخص المناسب (أليس) وليس إلى المحتال (حواء). في PGP ، يسمى هذا اليقين “صلاحية المفتاح:”

الصلاحية: كامل – يعني أننا على يقين من أن هذا المفتاح ينتمي إلى Alice

الصلاحية: هامشي – يعني أننا على يقين من أن هذا المفتاح ينتمي إلى أليس

الصلاحية: غير معروف – يعني عدم وجود ضمان على الإطلاق بأن هذا المفتاح يخص Alice

شبكة الثقة (WOT) مقابل الثقة عند الاستخدام الأول (TOFU)

يتضمن PGP آلية تفويض موثوق باسم “ويب الثقة”. في جوهرها ، هذه محاولة لاستبدال الحاجة إلى المراجع المصدقة المركزية لعالم HTTPS / TLS.

بدلاً من قيام العديد من صانعي البرامج بإملاء من ينبغي أن يكون كيانًا معتمدًا موثوقًا به ، تترك PGP هذه المسؤولية لكل مستخدم.

يظل جانبًا مهمًا من مواصفات OpenPGP ، ولكن الإصدارات الحديثة من GnuPG (2.2 وما فوق) طبقت آلية بديلة تسمى “Trust on First Use” (TOFU).

يمكنك أن تفكر في TOFU على أنها “نهج SSH الشبيه بالثقة”. مع SSH ، في المرة الأولى التي تتصل فيها بنظام بعيد ، يتم تسجيل بصمة المفتاح الخاصة به وتذكرها.

إذا تغير المفتاح في المستقبل ، فسيقوم عميل SSH بتنبيهك ورفض الاتصال ، مما يجبرك على اتخاذ قرار بشأن ما إذا اخترت أن تثق في المفتاح الذي تم تغييره أم لا.

شاهد أيضاً

كيفية تثبيت برنامج device driver على لينكس

كيفية تثبيت برنامج device driver على لينكس

كيفية تثبيت برنامج device driver على لينكس 1. واجهات المستخدم إذا كنت جديدًا على نظام …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *