تعلّم · 5 دقيقة قراءة
كيفية التحقق من توقيع PGP، ولماذا يجب عليك ذلك
التوقيع على ملف إصدار لا يفيد إلا إذا تحققت منه فعلاً. إليك سير العمل في 30 ثانية.
لقد نزّلت ملفاً ثنائياً، ونشر المطوّر ملف .asc بجانبه — فماذا الآن؟ لا يفعل معظم الناس شيئاً. أما القلائل الذين يتحققون، فيكتشفون هجمات سلسلة التوريد قبل تشغيل الكود المخترق.
ما الذي يُثبته التوقيع فعلاً
يُثبت توقيع PGP الصالح: (1) أن الملف لم يُعدَّل منذ التوقيع، و(2) أنه وُقِّع من شخص يمتلك المفتاح الخاص الذي يُقابل المفتاح العام الذي استخدمته. لا يُثبت أن الموقِّع أمين، ولا أن المفتاح العام ملكه فعلاً.
إن استبدل مهاجم الملفَ ونشر مفتاحه العام، يتحقق التوقيع تماماً — لكن ضد مفتاح خاطئ. الدفاع: تحقق من مفتاح الموقِّع عبر قناة مستقلة.
سير عمل التحقق
- نزّل الملف والتوقيع (.asc).
- احصل على المفتاح العام للموقِّع من مصدر منفصل (خادم مفاتيح، نطاق مختلف، شخصياً).
- افتح أداة التحقق والصق التوقيع والملف الأصلي والمفتاح العام.
- تأكد من ظهور "توقيع صالح" مع الموقِّع المتوقع.
- تحقق من بصمة المفتاح مقابل مصدر تثق به.
منفصل مقابل clearsign مقابل مشفَّر وموقَّع
- المنفصل — .asc في ملف منفصل. للملفات الثنائية والمضغوطة والكتل الكبيرة.
- Clearsigned — النص الموقَّع والتوقيع في ملف .asc واحد، مع النص الأصلي ظاهراً. للبريد الإلكتروني.
- مشفَّر+موقَّع — مشفَّر للمستلم وموقَّع من المُرسِل. فكّ التشفير أولاً ثم تحقق.
الأخطاء الشائعة
- التحقق بمفتاح عام تم تنزيله من المكان ذاته الذي نزّلت منه الملف الثنائي.
- تجاهل تحذيرات "توقيع جيد، لكن المفتاح غير معتمد".
- إعادة حفظ الملف قبل التحقق — تغييرات نهاية السطر تكسر التوقيعات المنفصلة.