디지털 서명을 사용하여 Windows 소프트웨어의 정품 여부를 확인하는 방법

인터넷에서 프로그램을 다운로드할 때마다 해당 프로그램이 악성 코드가 아니라는 개발자를 신뢰해야 합니다. 다른 방법은 없습니다. 그러나 일반적으로 이는 문제가 되지 않으며, 특히 유명한 개발자와 소프트웨어의 경우에는 더욱 그렇습니다.

그러나 소프트웨어를 호스팅하는 웹사이트는 공격에 더 취약합니다. 공격자는 웹사이트의 보안을 약화시키고 프로그램을 악성 버전으로 대체할 수 있습니다. 악성 버전은 백도어가 삽입 되어 있다는 점을 제외하면 원본과 모양 및 기능이 동일합니다 . 이 백도어를 사용하면 공격자는 컴퓨터의 여러 부분을 제어할 수 있습니다. 귀하의 컴퓨터가 봇넷 에 삽입되거나 더 나쁜 경우 악성 코드는 귀하가 신용/직불 카드를 사용하여 로그인 정보를 훔칠 때까지 기다리게 됩니다. 운영 체제, 암호화폐 지갑 또는 기타 유사한 소프트웨어와 같은 중요한 소프트웨어를 다운로드할 때는 특히 주의해야 합니다.

디지털 서명을 사용하여 Windows 소프트웨어를 인증하는 방법

• 디지털 서명은 오늘날의 시대에도 당신을 보호할 수 있습니다
• Gpg4win을 사용하여 디지털 서명을 확인하는 방법
• 파일 체크섬 확인
• 체크섬 목록 파일 서명을 확인하세요.
• 개발자 공개 키를 입력하세요.

디지털 서명은 오늘날의 시대에도 당신을 보호할 수 있습니다

소프트웨어 작성자는 자신의 제품에 "서명"할 수 있습니다. 공격자가 소프트웨어 작성자의 개인 키를 훔칠 수 없는 한 누군가가 이 서명을 위조할 수 있는 방법은 없습니다. 수천 명의 사용자가 악성 프로그램을 다운로드한 경우가 많은데, 거의 모든 경우에 디지털 서명을 확인했다면 유효하지 않다는 사실을 알아차리고 이런 상황을 피할 수 있었을 것이다. 취약한 웹사이트의 소프트웨어를 교체하는 것은 상대적으로 쉽지만, 적절하게 저장되고 인터넷 접속으로부터 격리된 개인 키를 훔치는 것은 극히 어렵습니다.

디지털 서명에 대한 자세한 내용은 디지털 서명을 사용하여 Linux 소프트웨어의 신뢰성을 확인하는 방법 문서에서 확인할 수 있습니다 . 이 문서에서는 Windows 유틸리티를 사용하여 다운로드를 인증한다는 점을 제외하고 동일한 내용을 설명합니다.

Gpg4win을 사용하여 디지털 서명을 확인하는 방법

Gpg4win을 다운로드하여 설치합니다 . 똑똑한 사람들은 이 소프트웨어가 합법적인지 확인하는 방법을 궁금해할 것입니다. 이것은 좋은 질문이며 이 다운로드 페이지가 손상되면 이후의 모든 단계가 헛된 것입니다.

운 좋게도 개발자 Gpg4win은 인증 기관의 소프트웨어 서명을 받는 데 필요한 모든 문제를 겪었고 웹 사이트에서 자신의 프로그램을 확인하는 단계를 자세히 설명했습니다. 유효성을 확인하는 데 동일한 암호화가 사용되지만 전체적인 방법은 다릅니다. 이를 위해 디지털 인증서가 사용됩니다.

파일 체크섬 확인

Bitcoin Core 지갑을 다운로드하고 싶다고 가정해 보겠습니다 . Windows x64 실행 파일( zip 이 아닌 exe )을 다운로드합니다. 그런 다음 " 릴리스 서명 확인 "을 클릭하여 SHA256SUMS.asc 파일을 다운로드합니다 . 첫 번째 단계는 설정 파일의 해시를 확인하는 것입니다.

다운로드 폴더로 이동하여 Gpg4win이 설치된 상태에서 이제 파일을 마우스 오른쪽 버튼으로 클릭하면 새로운 상황에 맞는 메뉴가 나타납니다. 비트코인 설치 파일( 다운로드한 exe )을 마우스 오른쪽 버튼으로 클릭하고 아래 이미지와 같이 More GpgEX Options > Create checksums 를 선택합니다.

생성된 sha256sum.txt 와 다운로드한 SHA256SUMS.asc 파일을 모두 엽니다 . SHA256 체크섬을 비교하면 동일해야 합니다.

체크섬 목록 파일 서명을 확인하세요.

동일한 웹 사이트에서 설정 파일과 체크섬 목록을 방금 다운로드했더라도 공격자가 설정 파일을 교체하면 체크섬 목록도 쉽게 교체될 수 있습니다. 그러나 해커는 서명을 위조할 수 없습니다. 이는 알려진(적법한) 공개 키로 확인할 수 있습니다. 먼저 이 키를 다운로드해야 합니다.

서명 이미지는 다음과 같습니다.

이는 인라인 서명입니다(검증하는 동일한 파일에 포함됨). 때때로 이 서명은 분리되어 별도의 파일에 배치됩니다. 이 텍스트 파일에서 문자 하나만 변경하면 서명이 더 이상 유효하지 않게 됩니다. 이는 개발자가 올바른 체크섬을 사용하여 정확한 특정 자산을 승인하고 서명했는지 확인하는 방법입니다.

개발자 공개 키를 입력하세요.

비트코인 다운로드 페이지의 " 비트코인 코어 릴리스 서명 키 " 섹션 에서 다운로드할 수 있는 공개 키가 있습니다 . 예방 조치로 다른 소스에서 다운로드할 수 있습니다. 공격자가 합법적인 키를 자신의 개인 키로 바꾸는 경우 해당 키가 게시되거나 논의된 다른 모든 위치에서 올바른 키(및 지문)를 찾을 수 있습니다.

SHA256SUMS.asc를 마우스 오른쪽 버튼으로 클릭 하고 Decrypt and verify를 선택합니다 . 프로그램은 공개 키가 없다고 알려줄 것입니다. 검색을 클릭하세요 .

검색하는 데 시간이 걸릴 수 있습니다. 찾기 필드 의 문자열을 확인하십시오 .

복사하여 Google에 붙여넣으면 합법적인 웹사이트나 포럼에서 논의된 공개 키 지문을 볼 수 있습니다. 이 공개 키를 더 많은 곳에서 찾을수록 그것이 정당한 소유자의 것인지 더욱 확신할 수 있습니다.

키를 클릭한 후 입력하세요. 지금 이 작업을 수행하는 방법을 모르거나 수행하고 싶지 않은 경우 다음에 표시되는 프롬프트(키 확인 조치 수행)에서 아니요를 클릭할 수 있습니다.

마지막으로 감사 로그 표시 를 클릭합니다 .

다음 이미지에 강조 표시된 Good 서명 텍스트가 표시됩니다.

SHA256SUMS.asc 에서 문자 하나만 변경해 보면 다음 이미지와 같은 결과를 얻을 수 있습니다.

소프트웨어가 자신의 것인지 확인할 수 있는 기능을 제공하는 개발자는 거의 없습니다. 그러나 일반적으로 민감하거나 매우 중요한 데이터를 처리하는 프로그램에서는 이 옵션을 제공합니다. 디지털 서명 확인 옵션을 사용하면 언젠가 문제를 피할 수 있습니다.

당신이 성공하기를 바랍니다.