ডিজিটাল স্বাক্ষর সহ লিনাক্স সফ্টওয়্যারটির সত্যতা কীভাবে যাচাই করবেন

আপনি যখন ইন্টারনেট থেকে সফ্টওয়্যার ডাউনলোড করেন, তখন আপনাকে বিকাশকারীকে বিশ্বাস করতে হবে যে তাদের প্রোগ্রামটি ক্ষতিকারক নয়। যাইহোক, আপনাকে হ্যাকারদের সম্পর্কেও চিন্তা করতে হবে। একটি ওয়েবসাইট হ্যাক করে এবং সফ্টওয়্যারকে একটি ব্যাকডোর সংস্করণ দিয়ে প্রতিস্থাপন করে আক্রমণকারী অনেক কিছু অর্জন করতে পারে৷

বিটকয়েন ওয়ালেট ইউটিলিটি হোস্ট করে এমন একটি সাইট সম্পর্কে চিন্তা করুন। যদি একজন আক্রমণকারী একটি দূষিত সংস্করণ দিয়ে বৈধ সংস্করণ প্রতিস্থাপন করতে পরিচালনা করে, তাহলে সে সম্ভাব্য কয়েক হাজার ব্যবহারকারীর কাছ থেকে অর্থ চুরি করতে পারে। ব্যাকডোরে আরেকটি মূল্যবান লক্ষ্য হল একটি অপারেটিং সিস্টেম। এটি অতীতে লিনাক্স মিন্টে ঘটেছে।

সুতরাং, আপনি এটি সম্পর্কে কি করতে পারেন?

হ্যাশ এবং স্বাক্ষর

যে বিকাশকারীরা নিরাপত্তা-সচেতন তারা প্রায়ই তাদের সেটআপ ফাইল বা আর্কাইভগুলিকে চেকসাম দিয়ে বান্ডিল করে যা আপনি যাচাই করতে পারেন। উইন্ডোজ বা লিনাক্সে কীভাবে সেগুলি যাচাই করবেন তা আপনি পড়তে পারেন। এই হ্যাশগুলির সাথে সমস্যাটি হল, যদি কোনও হ্যাকার কোনও ওয়েবসাইটে ফাইলগুলি প্রতিস্থাপন করে, তবে সে সহজেই হ্যাশগুলিও প্রতিস্থাপন করতে পারে। এটি হ্যাশগুলিকে প্রায় অকেজো করে তোলে, বিশেষ করে যদি সেগুলি একই সার্ভারে হোস্ট করা হয় যেখানে প্রোগ্রামগুলি থাকে৷

এই চেকসামগুলিকে উপযোগী করে তোলার জন্য, বিকাশকারীরা একটি পাবলিক এবং প্রাইভেট কী জোড়ার সাহায্যে ডিজিটালভাবে তাদের স্বাক্ষর করতে পারে। শুধুমাত্র যে ব্যক্তি এই ব্যক্তিগত কীটির মালিক সে স্বাক্ষর তৈরি করতে পারে৷ এগুলি শুধুমাত্র সংশ্লিষ্ট পাবলিক কী দিয়ে যাচাই করা যেতে পারে, যা ইন্টারনেটে প্রকাশিত হয়। যাচাইকরণ পাস হলে, আপনি নিশ্চিত হতে পারেন (প্রায় সবসময়) যে ব্যক্তিগত কীটির মালিক তার সফ্টওয়্যারে স্বাক্ষর করেছেন৷

একজন হ্যাকারের জন্য এই নিরাপত্তা ব্যবস্থাকে বাইপাস করার জন্য, তাকে ব্যক্তিগত কীটি কোনোভাবে চুরি করতে হবে, যা করা অনেক কঠিন যদি মালিক এটি গোপন রাখার জন্য যথাযথ ব্যবস্থা গ্রহণ করেন। এবং চাবিটি চুরি হয়ে গেলেও, মালিক এটি বাতিল করে এবং ঘোষণা করে এটি বাতিল করতে পারে। যদি এটি ঘটে, আপনি যখন তার/তার সর্বজনীন কী ডাউনলোড করবেন এবং একটি স্বাক্ষর যাচাই করার জন্য এটি ব্যবহার করার চেষ্টা করবেন, তখন আপনাকে জানানো হবে যে এটি প্রত্যাহার করা হয়েছে৷

কিভাবে GnuPG (GPG) ব্যবহার করে স্বাক্ষর যাচাই করবেন

জিপিজি ইউটিলিটি সাধারণত সমস্ত ডিস্ট্রোতে ডিফল্টরূপে ইনস্টল করা থাকে। যদি, কোন কারণে, এটি অনুপস্থিত হয়, আপনি নীচের কমান্ড দিয়ে এটি ইনস্টল করতে পারেন। কিছু ডিস্ট্রিবিউশনে, যদি আপনি একটি ত্রুটি পান যেমন “gpg:dirmngr ‘/usr/bin/dirmngr’ শুরু করতে ব্যর্থ হয়েছে:এরকম কোনো ফাইল বা ডিরেক্টরি নেই, ” আপনাকে dirmngr ইনস্টল করতে হবে সেইসাথে।

ডেবিয়ান, উবুন্টু বা ডেবিয়ান-ভিত্তিক ডিস্ট্রোতে, চালান:

sudo apt install gnupg dirmngr

RedHat/CentOS এর জন্য:

sudo yum install gnupg dirmngr

এবং ফেডোরাতে:

sudo dnf install gnupg dirmngr

আপনি কীভাবে ডেবিয়ান 9.8.0 ইনস্টলার ISO যাচাই করবেন তা পরীক্ষা করতে আপনি নীচের উদাহরণটি অনুসরণ করতে পারেন।

"SHA256SUMS," "SHA256SUMS.sign," এবং "debian-9.8.0-amd64-netinst.iso" ডাউনলোড করুন৷ আপনাকে প্রথম দুটি ফাইলে ডান-ক্লিক করতে হতে পারে এবং আপনার ওয়েব ব্রাউজারে "লিঙ্ক হিসাবে সংরক্ষণ করুন" বা সমতুল্য নির্বাচন করতে হতে পারে। অন্যথায়, সেগুলিতে ক্লিক করলে স্বয়ংক্রিয়ভাবে ডাউনলোড হওয়ার পরিবর্তে তাদের বিষয়বস্তুগুলি প্রদর্শন করতে পারে৷

একটি টার্মিনাল এমুলেটর খুলুন এবং আপনার ডাউনলোডগুলি যেখানে অবস্থিত সেই ডিরেক্টরিতে পরিবর্তন করুন৷

cd Downloads/

চেকসাম যাচাই করা হচ্ছে

ISO ডাউনলোড শেষ হওয়ার জন্য অপেক্ষা করুন। এরপর, SHA256 চেকসামগুলি যাচাই করুন৷

sha256sum -c SHA256SUMS

চেকসাম ভাল হলে আপনি ফাইলের নাম দেখতে পাবেন এবং তারপরে একটি "ওকে" বার্তা আসবে। অন্যান্য ধরনের চেকসাম যাচাই করতে, আপনার নিম্নলিখিত কমান্ডগুলি রয়েছে:sha1sum , sha512sum , md5sum . তবে এটি উপলভ্য থাকলে আপনাকে কমপক্ষে একটি SHA256 যোগফল বা তার বেশি ব্যবহার করার পরামর্শ দেওয়া হচ্ছে৷

কিছু সাইট SHA256SUMS-এর মতো ফাইল অফার করে না, যেখানে সহজ যাচাইয়ের জন্য ফাইলের নাম এবং চেকসামগুলি একসাথে গোষ্ঠীভুক্ত করা হয়। যদি তারা শুধুমাত্র তাদের সাইটে যোগফল প্রদর্শন করে, তাহলে একটি কমান্ড দিয়ে ফাইলটির হ্যাশ যাচাই করুন যেমন:

sha256sum debian-9.8.0-amd64-netinst.iso

স্বাক্ষরিত চেকসাম যাচাই করতে GPG ব্যবহার করে

এই উদাহরণে ডেবিয়ান দল তাদের ব্যক্তিগত কী দিয়ে "SHA256SUMS" ফাইলে স্বাক্ষর করেছে এবং "SHA256SUMS.sign" ফাইলে সংরক্ষণ করেছে৷ এর মাধ্যমে স্বাক্ষর যাচাই করুন:

gpg --verify SHA256SUMS.sign SHA256SUMS

আপনি এই বার্তাটি পাবেন:

gpg: Signature made Sun 17 Feb 2019 05:10:29 PM EET
gpg: using RSA key DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: Can't check signature: No public key

এর মানে আপনার কম্পিউটারে সর্বজনীন কী নেই, যা স্বাভাবিক। আপনাকে এটি একটি কীসার্ভার থেকে আমদানি করতে হবে৷

gpg --keyserver keyring.debian.org --recv-keys DF9B9C49EAA9298432589D76DA87E80D6294BE9B

যদি একটি কী সার্ভার ডাউন থাকে তবে আপনি একটি বিকল্প ব্যবহার করতে পারেন। উদাহরণস্বরূপ, আপনি keyring.debian.org প্রতিস্থাপন করতে পারেন keyserver.ubuntu.com এর সাথে .

কিন্তু কিভাবে আপনি এই কী বৈধ জানেন? দুর্ভাগ্যবশত, একেবারে নিশ্চিত হওয়ার জন্য, আপনাকে বিশ্বাসের ওয়েব নামে কিছু তৈরি করতে হবে। স্পষ্টতই, এই মুহুর্তে আপনার কাছে এটি নেই। কিন্তু আপনি করতে পারেন কিছু জিনিস আছে.

Google the key-এর আঙুলের ছাপ (DF9B9C49EAA9298432589D76DA87E80D6294BE9B)। আপনি যদি কিছু খুঁজে না পান তবে শুধুমাত্র শেষ আটটি অক্ষর (6294BE9B) Google-এ চেষ্টা করুন। অনুরূপ সফ্টওয়্যার সম্পর্কিত অনেক ওয়েবসাইটে একটি বৈধ কী উল্লেখ করা হবে। অধিকন্তু, পোস্টগুলি সাধারণত বছরের পর বছর ধরে বিস্তৃত থাকে কারণ একটি নিরাপদে-রক্ষিত কী দীর্ঘ সময়ের জন্য ব্যবহার করা হবে৷

আপনি যদি সত্যিই পাগল হয়ে থাকেন, তাহলে একটি BitTorrent ছবি ডাউনলোড করুন এবং তারপর চেকসাম এবং স্বাক্ষর যাচাই করুন। টরেন্টগুলি যেভাবে কাজ করে, শত শত বিভিন্ন ব্যবহারকারী দ্বারা আপলোড করা ফাইলগুলি প্রতিস্থাপন করা অসম্ভব। অধিকন্তু, BitTorrent-এর নিজস্ব মেকানিজমও রয়েছে যাতে এটি ডাউনলোড করা প্রতিটি ডেটার অখণ্ডতা যাচাই করে।

এখন যেহেতু আপনার কাছে সর্বজনীন কী আছে, আপনি অবশেষে স্বাক্ষরটি যাচাই করতে পারেন:

gpg --verify SHA256SUMS.sign SHA256SUMS

আপনি যদি "ভাল স্বাক্ষর" দেখেন তবে এর অর্থ হল সবকিছু চেক আউট। সতর্কতা সম্পর্কে চিন্তা করবেন না -এটি স্বাভাবিক কারণ, উল্লিখিত হিসাবে, আপনার কাছে সর্বজনীন কী বিশ্বাসের কোনো প্রতিষ্ঠিত ওয়েব নেই৷

উপসংহার

আপনি ইতিমধ্যে জানেন যে, ইন্টারনেটে কিছুই নিশ্চিত নয়। তবে সতর্কতামূলক ব্যবস্থা গ্রহণ করা অবশ্যই নিরাপদ, এবং আপনার ডাউনলোড করা ফাইলগুলির ডিজিটাল স্বাক্ষর যাচাই করা আপনাকে দূষিত সফ্টওয়্যার এড়াতে সাহায্য করতে পারে৷ অনেক সময় যখন ব্যবহারকারীরা ব্যাকডোর অপারেটিং সিস্টেম, বা বিটকয়েন ওয়ালেট সফ্টওয়্যার ডাউনলোড করেছেন, তারা যদি স্বাক্ষরগুলি পরীক্ষা করে দেখেন তবে তারা সমস্যা এড়াতে পারতেন, কারণ সেগুলিকে টেম্পার করা হয়নি৷