পিজিপি কেবল সাইবার হুমকি থেকে তথ্য সুরক্ষিত করার জন্যই নয় বরং ফাইল অখণ্ডতা যাচাই করতেও ব্যবহৃত হয়।
এই টিউটোরিয়ালটি সহজেই ব্যাখ্যা করে কিভাবে পিজিপি কাজ করে এবং কিভাবে পিজিপি স্বাক্ষর যাচাই করবেন ।
পিজিপি কিভাবে কাজ করে
নীচের ছবিতে একটি পিজিপি পাবলিক কী দেখানো হয়েছে। এই PGP পাবলিক কী শুধুমাত্র একটি নির্দিষ্ট প্রাইভেট PGP কী দিয়ে ডিক্রিপ্ট করা যায়। নীচের পাবলিক কী ইস্যুকারী একটি ব্যক্তিগত PGP কী জারি করেছে কারণ সেগুলি একই প্রক্রিয়ায় তৈরি করা হয়েছে। তিনি কেবল পাবলিক কী শেয়ার করেন।
আপনি যদি তার কাছে একটি বার্তা এনক্রিপ্ট করার জন্য তার সর্বজনীন কীটি গ্রহণ করেন, তাহলে তিনি তার ব্যক্তিগত কী ব্যবহার করে বার্তাটি ডিক্রিপ্ট করতে সক্ষম হবেন। শুধুমাত্র তার ব্যক্তিগত কী তার পাবলিক কী ব্যবহার করে আপনি এনক্রিপ্ট করা বার্তা ডিক্রিপ্ট করতে পারেন।
পাবলিক কী ব্যবহার করে তথ্য এনক্রিপ্ট করা হয় এবং ব্যক্তিগত কী ব্যবহার করে ডিক্রিপ্ট করা হয়। এই বলা হয় অসমীয় এনক্রিপশন ।
অতএব এমনকি যদি কোন আক্রমণকারী ব্যক্তিগত কী ছাড়া বার্তাটি আটকায় তবে সে বার্তার বিষয়বস্তু দেখতে অক্ষম।
অসমমিত এনক্রিপশনের সুবিধা হল কী বিনিময় করার সরলতা। কিন্তু এর অসুবিধা হল যে এটি প্রচুর পরিমাণে ডেটা এনক্রিপ্ট করতে পারে না, এবং এজন্যই পিজিপি তাদের উভয়ই প্রয়োগ করে।
সুরক্ষিত ডেটা এনক্রিপ্ট করতে যখন পাবলিক কী ব্যবহার করা হয় তখন প্রতিসম এনক্রিপশন প্রয়োগ করা হয়। পাবলিক কী দিয়ে, প্রেরক দুটি কাজ করে: প্রথমে ডেটা সুরক্ষার জন্য প্রতিসম এনক্রিপশন তৈরি করে, এবং তারপর এটি অসম্যাট্রিক এনক্রিপশন প্রয়োগ করে, যা ডেটা নিজেই এনক্রিপ্ট করে না, কিন্তু সিম্যাট্রিক কী, যা ডেটা রক্ষা করে।
আরো টেকনিক্যাল হওয়ার জন্য, সিমেট্রিক কী প্রয়োগ করার আগে, সিমেট্রিক কী এবং পাবলিক কী দিয়ে এনক্রিপ্ট করার আগে ডেটাও সংকুচিত হয়। নিম্নলিখিত চার্ট প্রবাহ পুরো প্রক্রিয়া দেখায়:
পিজিপি স্বাক্ষর
পিজিপি প্যাকেজের অখণ্ডতা পরীক্ষা করতেও ব্যবহৃত হয়। এটি ডিজিটাল স্বাক্ষরের মাধ্যমে অর্জন করা হয়, যা পিজিপি দিয়ে করা যায়।
প্রথমত, পিজিপি একটি হ্যাশ তৈরি করে যা ব্যক্তিগত কী দিয়ে এনক্রিপ্ট করা হয়। ব্যক্তিগত কী এবং হ্যাশ উভয়ই পাবলিক কী ব্যবহার করে ডিক্রিপ্ট করা যায়।
PGP একটি ডিজিটাল স্বাক্ষর তৈরি করে, উদাহরণস্বরূপ, DSA বা RSA অ্যালগরিদম ব্যবহার করে একটি ISO চিত্রের জন্য। এই ক্ষেত্রে, ব্যক্তিগত কী সফ্টওয়্যার বা ISO ইমেজের সাথে সংযুক্ত, পূর্বে বর্ণিত ক্রিয়াকলাপের বিপরীতে। পাবলিক কীও ভাগ করা হয়।
ব্যবহারকারীরা প্রকাশ করা সফটওয়্যারের সাথে সংযুক্ত স্বাক্ষর যাচাই করতে পাবলিক কী ব্যবহার করে।
নিচের চার্ট প্রবাহ দেখায় কিভাবে সফটওয়্যারের সাথে প্রাইভেট কী এবং হ্যাশ সংযুক্ত থাকে এবং ব্যবহারকারী কিভাবে স্বাক্ষর যাচাই করার জন্য পাবলিক কী সহ সংযুক্ত হ্যাশ এবং প্রাইভেট কী দিয়ে সফটওয়্যারটি নেয়:
আমি কিভাবে একটি PGP স্বাক্ষর যাচাই করব?
প্রথম উদাহরণ দেখায় কিভাবে লিনাক্স কার্নেল স্বাক্ষর যাচাই করতে হয়। এটি চেষ্টা করার জন্য, অ্যাক্সেস করুন https://kernel.org এবং একটি কার্নেল সংস্করণ এবং এর পিজিপি ফাইল ডাউনলোড করুন। এই উদাহরণের জন্য, আমি ফাইল ডাউনলোড করব linux-5.12.7.tar.xz এবং linux-5.12.7.tar.sign ।
প্রথম উদাহরণ দেখায় কিভাবে একটি একক কমান্ড দিয়ে স্বাক্ষর যাচাই করা যায়। ম্যান পেজ অনুসারে, এই বিকল্প সংমিশ্রণটি ভবিষ্যতের সংস্করণগুলিতে অপ্রচলিত হতে চলেছে। যাইহোক, এটি এখনও ব্যাপকভাবে ব্যবহৃত হয়, এবং যখন নির্দিষ্ট সংমিশ্রণটি অপ্রচলিত হবে, বিকল্পগুলি থাকবে।
প্রথম বিকল্প Ys keyserver- বিকল্প কী সার্ভারের জন্য বিকল্পগুলি সংজ্ঞায়িত করার অনুমতি দেয় যেখানে সর্বজনীন কী সংরক্ষণ করা হয়। মূলত, এটি সর্বজনীন কীগুলি আনার বিকল্পগুলি বাস্তবায়নের অনুমতি দেয়।
দ্য Ys keyserver- বিকল্প এর সাথে মিলিত হয় – অটো-কী-পুনরুদ্ধার স্বাক্ষর যাচাই করার সময় একটি কী সার্ভার থেকে স্বয়ংক্রিয়ভাবে সর্বজনীন কীগুলি পুনরুদ্ধার করার বিকল্প।
পাবলিক কী খুঁজে পেতে, এই কমান্ডটি ওয়েব কী ডিরেক্টরি ব্যবহার করে একটি সন্ধান প্রক্রিয়ার মাধ্যমে একটি সংজ্ঞায়িত পছন্দসই কী সার্ভার বা স্বাক্ষরকারীর আইডি খুঁজতে স্বাক্ষর পড়বে।
gpg-keyserver- অপশনস্বয়ংক্রিয় কী-পুনরুদ্ধার-যাচাই করুনlinux-5.12.7.tar.sign 
আপনি দেখতে পাচ্ছেন, স্বাক্ষরটি ভাল, তবে একটি সতর্ক বার্তা রয়েছে যা বলে যে জিপিজি স্বাক্ষরটি মালিকের নয় তা নিশ্চিত করতে পারে না। গ্রেগ ক্রোহান-হার্টম্যান হিসেবে যে কেউ পাবলিক স্বাক্ষর জারি করতে পারেন। আপনি জানেন যে স্বাক্ষরটি বৈধ কারণ আপনি যে সার্ভার থেকে এটি ডাউনলোড করেছেন তার উপর আপনি বিশ্বাস করেন। এই ক্ষেত্রে, এটি kernel.org থেকে ডাউনলোড করা .sign এ নির্দিষ্ট করা আছে।
এই সতর্কতা সর্বদা উপস্থিত থাকে এবং আপনি বিকল্পটি ব্যবহার করে স্বাক্ষরের বিশ্বস্ত তালিকায় স্বাক্ষর যুক্ত করে এটি এড়াতে পারেন সম্পাদনা-কী ট্রাস্ট । সত্য কোন ব্যবহারকারী এটি করে না, এবং জিপিজি সম্প্রদায় সতর্কতা সরানোর অনুরোধ করেছে।
SHA256SUMS.gpg যাচাই করা হচ্ছে
নিম্নলিখিত উদাহরণে, আমি আমার বাক্সে পাওয়া একটি পুরানো কালী লিনাক্স চিত্রের সততা যাচাই করব। এই উদ্দেশ্যে, আমি একই আইএসও চিত্রের SHA256SUMS.gpg এবং SHA256SUMS ফাইল ডাউনলোড করেছি।
একবার আপনি একটি আইএসও ইমেজ, SHA256SUMS.gpg এবং SHA256SUMS ডাউনলোড করলে, আপনাকে সর্বজনীন কীগুলি পেতে হবে। নিম্নলিখিত উদাহরণে, আমি কীগুলি ব্যবহার করে আনছি wget এবং gpg - আমদানি (কালী যাচাইকরণ নির্দেশাবলী এই কী সার্ভারের সাথে লিঙ্ক করে)।
তারপর আমি gpg দিয়ে কল করে ফাইলের অখণ্ডতা যাচাই করি যাচাই করুন যুক্তি:
wget -কিউ -ওআর- https://archive.kali.org/archive-key.asc|gpg-আমদানিgpg-যাচাই করুনSHA256SUMS.gpg SHA256SUMS
আপনি দেখতে পাচ্ছেন, স্বাক্ষরটি ভাল, এবং যাচাইকরণ সফল হয়েছে।
নিম্নলিখিত উদাহরণটি দেখায় কিভাবে একটি NodeJS ডাউনলোড যাচাই করা যায়। পাবলিক কী না থাকায় প্রথম কমান্ড একটি ত্রুটি ফেরত দেয়। ত্রুটিটি নির্দেশ করে যে আমাকে 74F12602B6F1C4E913FAA37AD3A89613643B6201 কী অনুসন্ধান করতে হবে। সাধারণত, আপনি নির্দেশাবলীতে কী আইডিও খুঁজে পেতে পারেন।
বিকল্পটি ব্যবহার করে Ys কিজার সার্ভার , আমি কীটি অনুসন্ধান করতে সার্ভারটি নির্দিষ্ট করতে পারি। বিকল্পটি ব্যবহার করে –Recv- কী , আমি চাবি উদ্ধার করি। তারপর যাচাইকরণ কাজ করে:
gpg-যাচাই করুনSHASUMS256.txt.ascআমি যে কী আনতে চাই তা অনুলিপি করি, এবং তারপর আমি চালাই:
gpg-কিজার সার্ভারpool.sks-keyservers.net--recv- কী74F12602B6F1C4E913FAA37AD3A89613643B6201
gpg-যাচাই করুনSHASUMS256.txt.asc
জিপিজি কীগুলি অনুসন্ধান করা হচ্ছে:
যদি স্বয়ংক্রিয় পুনরুদ্ধার কীগুলি কাজ না করে এবং আপনি যাচাইকরণ-নির্দিষ্ট নির্দেশনাগুলি খুঁজে না পান, আপনি বিকল্পটি ব্যবহার করে একটি কী সার্ভারে কী অনুসন্ধান করতে পারেন Arch অনুসন্ধান-কী ।
gpg-অনুসন্ধান-কী74F12602B6F1C4E913FAA37AD3A89613643B6201 
আপনি দেখতে পাচ্ছেন, চাবিটি পাওয়া গেছে। আপনি যে কীটি পুনরুদ্ধার করতে চান তার সংখ্যা টিপে আপনি এটি পুনরুদ্ধার করতে পারেন।
উপসংহার
ডাউনলোডের অখণ্ডতা যাচাই করা গুরুতর সমস্যা প্রতিরোধ করতে পারে বা ব্যাখ্যা করতে পারে, উদাহরণস্বরূপ, যখন ডাউনলোড করা সফ্টওয়্যার সঠিকভাবে কাজ করে না। জিপিজি সহ প্রক্রিয়াটি বেশ সহজ, উপরে দেখানো হয়েছে, যতক্ষণ ব্যবহারকারী সমস্ত প্রয়োজনীয় ফাইল পায়।
অসমমিত এনক্রিপশন বা পাবলিক এবং প্রাইভেট কী-ভিত্তিক এনক্রিপশন বোঝা ইন্টারনেটে নিরাপদে যোগাযোগ করার একটি মৌলিক প্রয়োজন, উদাহরণস্বরূপ, ডিজিটাল স্বাক্ষর ব্যবহার করে।
আমি আশা করি পিজিপি স্বাক্ষরের এই টিউটোরিয়ালটি সহায়ক ছিল। আরো লিনাক্স টিপস এবং টিউটোরিয়ালের জন্য লিনাক্স ইঙ্গিত অনুসরণ করুন।