인터넷에서 프로그램을 다운로드할 때마다 개발자가 악성 프로그램이 아니라는 것을 믿어야 합니다. 방법이 없습니다. 그러나 일반적으로 특히 잘 알려진 소프트웨어 및 개발자의 경우에는 문제가 되지 않습니다.
그러나 소프트웨어를 호스팅하는 웹 사이트는 더 취약합니다. 공격자는 웹 사이트의 보안을 무너뜨리고 프로그램을 자신의 악성 버전으로 교체할 수 있습니다. 이것은 백도어가 삽입되어 있다는 점을 제외하고는 원본과 똑같이 보이고 작동합니다. 이 백도어를 통해 공격자는 일상적인 컴퓨팅의 다양한 부분을 제어할 수 있습니다. 컴퓨터가 봇넷에 삽입되거나 더 나쁜 경우 유틸리티가 신용/직불 카드를 사용할 때까지 기다렸다가 자격 증명을 훔칩니다. 운영체제, 암호화폐 지갑 등과 같은 중요한 소프트웨어를 다운로드할 때는 특히 주의해야 합니다.
디지털 서명으로 하루를 절약할 수 있습니다.
소프트웨어 작성자는 제품에 서명할 수 있습니다. 공격자가 개인 키를 훔칠 수 없다면 누군가 이 서명을 위조할 수 있는 알려진 방법이 없습니다. 수천 명의 사용자가 악성 프로그램을 다운로드한 경우가 많이 있으며 거의 모든 경우에 전자 서명을 확인했더라면 유효하지 않은 서명임을 알아차리고 상황을 피할 수 있었을 것입니다. 취약한 웹사이트에서 소프트웨어를 교체하는 것은 비교적 쉽지만 적절하게 저장되고 인터넷 액세스로부터 격리된 개인 키를 훔치는 것은 매우 어렵습니다.
여기에서 디지털 서명에 대한 자세한 내용을 읽을 수 있습니다. 이 문서에서는 Windows 유틸리티를 사용하여 다운로드의 유효성을 검사한다는 점을 제외하고 동일한 내용을 설명합니다.
Gpg4win을 사용하여 디지털 서명을 확인하는 방법
이 페이지로 이동하여 Gpg4win을 다운로드하여 설치합니다. 똑똑한 사람들은 "하지만 이것이 합법적인지 어떻게 알 수 있습니까?"라고 자문할 것입니다. 그리고 좋은 질문입니다. 이것이 깨지면 이후의 모든 단계는 쓸모가 없습니다.
다행히 개발자는 인증 기관에서 서명한 소프트웨어를 얻기 위해 모든 문제를 겪었습니다. 그리고 그는 자신의 웹사이트에서 자신의 프로그램을 확인하는 단계를 자세히 설명합니다. 유효성을 검사하기 위해 유사한 암호화가 사용되지만 전체적인 방법은 다릅니다. 이를 위해 디지털 인증서가 사용됩니다.
파일 체크섬 확인
비트코인 코어 지갑을 다운로드하고 싶다고 가정해 봅시다. x64 Windows 실행 파일(zip이 아닌 exe)을 다운로드합니다. 그런 다음 "릴리스 서명 확인"을 클릭하여 "SHA256SUMS.asc" 파일을 다운로드합니다. 첫 번째 단계는 설정 파일의 해시를 확인하는 것입니다. 여기에서 해시에 대한 자세한 내용을 읽을 수 있습니다.
다운로드 폴더로 이동하고 Gpg4win이 설치된 상태에서 파일을 마우스 오른쪽 버튼으로 클릭하면 새 컨텍스트 메뉴가 나타납니다. 비트코인 설정 파일(다운로드한 exe)을 마우스 오른쪽 버튼으로 클릭하고 아래 그림과 같이 "추가 GpgEX 옵션 -> 체크섬 생성"을 선택합니다.
생성된 "sha256sum.txt"와 다운로드한 "SHA256SUMS.asc"를 모두 엽니다. SHA256 체크섬을 비교하십시오. 완벽하게 일치해야 합니다.
체크섬을 나열하는 파일의 서명 확인
동일한 웹 사이트에서 설정 파일과 체크섬 목록을 방금 다운로드했지만 공격자가 설정 파일을 교체하면 체크섬 목록도 쉽게 교체할 수 있습니다. 그러나 그가 할 수 없는 것은 서명을 위조하는 것입니다. 알려진(적법한) 공개 키로 검증할 수 있습니다. 먼저 이 키를 다운로드해야 합니다.
다음 이미지는 서명의 모습입니다.
이것은 인라인 서명입니다(검증하는 동일한 파일에 포함됨). 때때로 이것은 분리되어 별도의 파일에 포함됩니다. 이 텍스트 파일에서 한 글자만 변경하면 서명이 무효화됩니다. 이것은 개발자가 정확한 체크섬을 사용하여 정확하고 구체적인 내용을 승인하고 서명했음을 알 수 있는 방법입니다.
개발자의 공개 키 가져오기
Bitcoin 다운로드 페이지의 "Bitcoin Core Release Signing Keys"에서 다운로드할 수 있는 공개 키가 있습니다. 예방 조치로 다른 소스에서 다운로드할 수 있습니다. 공격자가 합법적인 키를 자신의 것으로 교체한 경우 게시되거나 논의된 다른 모든 위치에서 올바른 키(및 지문)를 찾을 가능성이 높습니다.
"SHA256SUMS.asc"를 마우스 오른쪽 버튼으로 클릭하고 "암호 해독 및 확인"을 선택합니다. 프로그램은 아직 공개 키가 없다고 알려줍니다. "검색"을 클릭하십시오.
검색에 시간이 걸릴 수 있습니다. "찾기" 필드의 문자열을 확인하세요.
이것을 복사하여 Google에 붙여넣으면 이 공개 키 지문이 합법적인 포럼 스레드/웹사이트 등에서 논의되었는지 확인할 수 있습니다. 더 많은 장소에서 찾을수록 그것이 의도한 소유자의 것인지 더 확신할 수 있습니다.
키를 클릭한 다음 가져옵니다. 방법을 모르거나 지금 하고 싶지 않은 경우 다음에 표시되는 프롬프트에서 "아니요"를 클릭할 수 있습니다(키 인증을 위한 조치 취).
마지막으로 "감사 로그 표시"를 클릭합니다.
다음 그림 "좋은 서명"에서 강조 표시된 텍스트가 표시되어야 합니다.
"SHA256SUMS.asc"에서 한 글자만 변경하면 다음 이미지와 같은 결과를 얻을 수 있습니다.
결론
자신의 소프트웨어가 자신의 소프트웨어인지 확인할 수 있는 가능성을 제공하는 개발자는 거의 없습니다. 그러나 일반적으로 민감한 데이터를 다루거나 매우 중요한 프로그램은 이 옵션을 제공합니다. 그것을 사용하면 언젠가는 곤경에서 벗어날 수 있습니다.