প্রতিবার আপনি ইন্টারনেট থেকে একটি প্রোগ্রাম ডাউনলোড করার সময়, আপনাকে বিকাশকারীকে বিশ্বাস করতে হবে যে এটি দূষিত নয়। যে প্রায় কোনো উপায় নেই। তবে এটি একটি সমস্যা নয়, সাধারণত, বিশেষ করে সুপরিচিত সফ্টওয়্যার এবং বিকাশকারীদের সাথে৷
৷যাইহোক, সফ্টওয়্যার হোস্ট করা ওয়েবসাইটগুলি বেশি ঝুঁকিপূর্ণ। আক্রমণকারীরা একটি ওয়েবসাইটের নিরাপত্তা নষ্ট করতে পারে এবং প্রোগ্রামগুলিকে তাদের নিজস্ব, দূষিত সংস্করণ দিয়ে প্রতিস্থাপন করতে পারে। এটি দেখতে এবং ঠিক আসল মত কাজ করে, এটিতে একটি ব্যাকডোর ঢোকানো ছাড়া। এই ব্যাকডোরের সাহায্যে আক্রমণকারীরা আপনার স্বাভাবিক দৈনন্দিন কম্পিউটিংয়ের বিভিন্ন অংশ নিয়ন্ত্রণ করতে পারে। আপনার কম্পিউটার হয় বটনেটে ঢোকানো হয়েছে, অথবা আরও খারাপ, ইউটিলিটি অপেক্ষা করে যতক্ষণ না আপনি আপনার ক্রেডিট/ডেবিট কার্ড ব্যবহার করেন এবং এর প্রমাণপত্র চুরি করেন। অপারেটিং সিস্টেম, ক্রিপ্টোকারেন্সি ওয়ালেট বা অনুরূপ গুরুত্বপূর্ণ সফ্টওয়্যার ডাউনলোড করার সময় আপনার বিশেষভাবে সতর্ক হওয়া উচিত।
ডিজিটাল স্বাক্ষর দিন বাঁচাতে পারে
সফ্টওয়্যার লেখক তাদের পণ্য স্বাক্ষর করতে পারেন. আক্রমণকারী তাদের ব্যক্তিগত কী চুরি করতে না পারলে, কেউ এই স্বাক্ষর জাল করতে পারে এমন কোনও পরিচিত উপায় নেই৷ এমন অনেক ক্ষেত্রে রয়েছে যেখানে হাজার হাজার ব্যবহারকারী দূষিত প্রোগ্রামগুলি ডাউনলোড করেছেন এবং প্রায় প্রতিটি ক্ষেত্রে, যদি তারা ডিজিটাল স্বাক্ষরগুলি পরীক্ষা করে দেখেন, তারা লক্ষ্য করতেন যে সেগুলি অবৈধ ছিল, এইভাবে পরিস্থিতি এড়ানো যায়। একটি দুর্বল ওয়েবসাইটে সফ্টওয়্যার প্রতিস্থাপন করা তুলনামূলকভাবে সহজ কিন্তু একটি ব্যক্তিগত কী চুরি করা অবিশ্বাস্যভাবে কঠিন যা সঠিকভাবে সংরক্ষিত এবং ইন্টারনেট অ্যাক্সেস থেকে বিচ্ছিন্ন।
আপনি এখানে ডিজিটাল স্বাক্ষর সম্পর্কে আরও অনেক কিছু পড়তে পারেন। এই নিবন্ধটি একই বিষয় নিয়ে আলোচনা করে, আপনি ডাউনলোডগুলি যাচাই করার জন্য উইন্ডোজ ইউটিলিটিগুলি ব্যবহার করবেন।
ডিজিটাল স্বাক্ষর যাচাই করতে কিভাবে Gpg4win ব্যবহার করবেন
এই পৃষ্ঠায় যান এবং Gpg4win ডাউনলোড এবং ইনস্টল করুন। স্মার্ট লোকেরা নিজেদেরকে জিজ্ঞাসা করবে, "কিন্তু আমি কীভাবে জানব যে এটি বৈধ?" এবং এটি একটি ভাল প্রশ্ন। যদি এটি ভেঙ্গে যায়, তবে পরবর্তী সমস্ত পদক্ষেপ অকেজো হয়ে যাবে।
সৌভাগ্যবশত, বিকাশকারী তার সফ্টওয়্যারটি একটি শংসাপত্র কর্তৃপক্ষ দ্বারা স্বাক্ষরিত করার জন্য সমস্ত ঝামেলার মধ্য দিয়ে গেছে। এবং তিনি তার ওয়েবসাইটে তার প্রোগ্রাম যাচাই করার পদক্ষেপের বিবরণ দেন। যদিও একই ধরনের ক্রিপ্টোগ্রাফি বৈধতা পরীক্ষা করার জন্য ব্যবহার করা হয়, সামগ্রিক পদ্ধতি ভিন্ন। এর জন্য ডিজিটাল সার্টিফিকেট ব্যবহার করা হয়।
ফাইল চেকসাম যাচাই করুন
ধরা যাক আপনি বিটকয়েন কোর ওয়ালেট ডাউনলোড করতে চান। x64 উইন্ডোজ এক্সিকিউটেবল ডাউনলোড করুন (exe, জিপ নয়)। এর পরে, "SHA256SUMS.asc" ফাইলটি ডাউনলোড করতে "রিলিজ স্বাক্ষর যাচাই করুন" এ ক্লিক করুন৷ প্রথম ধাপ হল সেটআপ ফাইলের হ্যাশ যাচাই করা। আপনি এখানে হ্যাশ সম্পর্কে আরও পড়তে পারেন।
আপনার ডাউনলোড ফোল্ডারে যান, এবং Gpg4win ইনস্টল করার সাথে, আপনি এখন একটি ফাইলে ডান-ক্লিক করতে পারেন এবং একটি নতুন প্রসঙ্গ মেনু প্রদর্শিত হবে। বিটকয়েন সেটআপ ফাইলে ডান-ক্লিক করুন (যেটি আপনি ডাউনলোড করেছেন), এবং নীচের ছবির মতো "আরো GpgEX বিকল্প -> চেকসাম তৈরি করুন" নির্বাচন করুন৷
জেনারেট করা "sha256sum.txt" এবং আপনি ডাউনলোড করা "SHA256SUMS.asc" উভয়ই খুলুন। SHA256 চেকসাম তুলনা করুন। তাদের একটি নিখুঁত মিল হওয়া উচিত।
চেকসাম তালিকাভুক্ত ফাইলের স্বাক্ষর পরীক্ষা করুন
আপনি যখন একই ওয়েবসাইট থেকে একটি সেটআপ ফাইল এবং চেকসামগুলির একটি তালিকা ডাউনলোড করেছেন, যদি কোনও আক্রমণকারী সেটআপ ফাইলটি প্রতিস্থাপন করে, সে সহজেই চেকসামগুলির তালিকাটিও প্রতিস্থাপন করতে পারে৷ যাইহোক, তিনি যা করতে পারেন না তা হল একটি স্বাক্ষর জাল। এটি একটি পরিচিত (বৈধ) পাবলিক কী দ্বারা যাচাই করা যেতে পারে। প্রথমে, আপনাকে এই কীটি ডাউনলোড করতে হবে।
নিচের চিত্রটি একটি স্বাক্ষর দেখতে কেমন।
এটি একটি ইনলাইন স্বাক্ষর (এটি বৈধ করা একই ফাইলে অন্তর্ভুক্ত)। কখনও কখনও এটি আলাদা করা হবে, একটি পৃথক ফাইলে অন্তর্ভুক্ত করা হবে। আপনি এই টেক্সট ফাইলে শুধুমাত্র একটি অক্ষর পরিবর্তন করলে, স্বাক্ষরটি অবৈধ হয়ে যাবে। এটি জানার একটি উপায় যে বিকাশকারী এই সঠিক, নির্দিষ্ট বিষয়বস্তুগুলিকে সঠিক চেকসাম সহ অনুমোদন করেছেন এবং স্বাক্ষর করেছেন৷
ডেভেলপারের সর্বজনীন কী আমদানি করুন
আপনার কাছে বিটকয়েনের ডাউনলোড পৃষ্ঠায় "বিটকয়েন কোর রিলিজ সাইনিং কী" এর অধীনে ডাউনলোডের জন্য সর্বজনীন কীগুলি উপলব্ধ রয়েছে৷ সতর্কতামূলক ব্যবস্থা হিসাবে, আপনি অন্য উত্স থেকে সেগুলি ডাউনলোড করতে পারেন৷ যদি কোনো আক্রমণকারী তার নিজের দ্বারা বৈধ কীগুলি প্রতিস্থাপন করে, তবে অন্য সব জায়গায় আমরা সঠিক কীগুলি (এবং আঙুলের ছাপ) খুঁজে পাব যেখানে সেগুলি পোস্ট করা হয়েছে বা আলোচনা করা হয়েছে৷
"SHA256SUMS.asc"-এ ডান-ক্লিক করুন এবং "ডিক্রিপ্ট এবং যাচাই করুন" নির্বাচন করুন। প্রোগ্রামটি আপনাকে বলবে যে আপনার কাছে এখনও সর্বজনীন কী নেই। "অনুসন্ধান" এ ক্লিক করুন৷
৷
অনুসন্ধানে কিছুটা সময় লাগতে পারে। "খুঁজুন" ক্ষেত্রের স্ট্রিংটি নোট করুন।
এই সর্বজনীন কী ফিঙ্গারপ্রিন্টটি বৈধ ফোরাম থ্রেড/ওয়েবসাইট ইত্যাদিতে আলোচনা করা হয়েছে কিনা তা দেখতে আপনি এটিকে অনুলিপি করে Google-এ পেস্ট করতে পারেন। আপনি যত বেশি জায়গা এটি খুঁজে পাবেন, ততই আপনি নিশ্চিত হতে পারবেন যে এটি উদ্দেশ্যযুক্ত মালিকের।
কীটিতে ক্লিক করুন এবং তারপরে এটি আমদানি করুন। আপনি যে প্রম্পটে পাবেন সেটিতে "না" ক্লিক করতে পারেন (কীটি প্রত্যয়িত করার জন্য ব্যবস্থা নিন) যদি আপনি না জানেন যে কীভাবে বা এখন এটি করতে চান না।
অবশেষে, "অডিট লগ দেখান" এ ক্লিক করুন।
আপনার পরবর্তী ছবিতে হাইলাইট করা লেখাটি দেখতে হবে, "ভাল স্বাক্ষর।"
"SHA256SUMS.asc"-এ শুধুমাত্র একটি অক্ষর পরিবর্তন করার চেষ্টা করুন এবং নিচের ছবিতে যা দেখানো হয়েছে তা আপনি পাবেন৷
উপসংহার
অল্প কিছু বিকাশকারী আপনাকে তাদের সফ্টওয়্যার তাদের কাছ থেকে এসেছে কিনা তা পরীক্ষা করার সুযোগ দেয়। কিন্তু সাধারণত যে প্রোগ্রামগুলি সংবেদনশীল ডেটা নিয়ে কাজ করে বা খুব গুরুত্বপূর্ণ সেগুলি আপনাকে এই বিকল্পটি অফার করবে। এটি ব্যবহার করুন এবং এটি আপনাকে কোনও দিন ঝামেলা থেকে বাঁচাতে পারে৷
