Каждый раз, скачивая программу из Интернета, вы вынуждены верить разработчику, что это не вредоносное ПО. Другого варианта нет. Но обычно это не проблема, особенно с известными разработчиками и программным обеспечением.
Однако веб-сайты, на которых размещено программное обеспечение, более уязвимы для атак. Злоумышленники могут подорвать безопасность веб-сайта и заменить программы вредоносными версиями. Вредоносная версия выглядит и функционирует точно так же, как оригинал, за исключением того, что в нее встроен бэкдор . С помощью этого бэкдора злоумышленник может контролировать различные части компьютера. Ваш компьютер будет подключен к ботнету или, что еще хуже, вредоносное ПО будет ждать, пока вы не воспользуетесь своей кредитной/дебетовой картой и не украдите свои данные для входа. Вам следует быть особенно осторожным при загрузке важного программного обеспечения, такого как операционные системы, криптовалютные кошельки или другое подобное программное обеспечение.
Инструкции по аутентификации программного обеспечения Windows с помощью цифровых подписей
Разработчики программного обеспечения могут «подписывать» свои продукты. Если злоумышленник не сможет украсть закрытый ключ автора программного обеспечения, у кого-то не будет возможности подделать эту подпись. Известно много случаев, когда тысячи пользователей загружали вредоносные программы, и почти в каждом случае, если бы они проверили цифровые подписи, то заметили бы, что они недействительны, и такой ситуации можно было бы избежать. Подменить программное обеспечение на уязвимом веб-сайте относительно легко, но чрезвычайно сложно украсть закрытый ключ, который правильно хранится и изолирован от доступа в Интернет.
Подробнее о цифровых подписях вы можете прочитать в статье: Как проверить подлинность программного обеспечения Linux с помощью цифровых подписей . В этой статье обсуждается то же самое, за исключением того, что для аутентификации загрузок вы будете использовать утилиты Windows.
Загрузите и установите Gpg4win . Умные люди задаются вопросом, как точно узнать, что это программное обеспечение является законным. Это хороший вопрос, и если эта страница загрузки не работает, то все последующие шаги будут напрасными.
К счастью, разработчик Gpg4win преодолел все трудности с подписью своего программного обеспечения в центре сертификации и подробно описал шаги по проверке своей программы на веб-сайте. Хотя для проверки достоверности используется одна и та же криптография, общий метод будет другим. Для этого используются цифровые сертификаты.
Допустим, вы хотите загрузить кошелек Bitcoin Core . Загрузите исполняемый файл Windows x64 ( exe , а не zip ). Затем нажмите « Проверить подписи выпуска », чтобы загрузить файл SHA256SUMS.asc. Первым шагом является проверка хеша установочного файла.
Перейдите в папку загрузки, и после установки Gpg4win вы можете щелкнуть файл правой кнопкой мыши, и появится новое контекстное меню. Щелкните правой кнопкой мыши установочный файл Bitcoin ( загруженный вами exe-файл ) и выберите «Дополнительные параметры GpgEX» > «Создать контрольные суммы» , как показано на изображении ниже.
Откройте как созданный файл sha256sum.txt , так и загруженный файл SHA256SUMS.asc . Сравните контрольные суммы SHA256: они должны совпадать.
Даже если вы только что загрузили установочный файл и список контрольных сумм с одного и того же веб-сайта, если злоумышленник заменит установочный файл, он также может легко заменить и список контрольных сумм. Однако хакеры не могут подделать подписи. Это может быть подтверждено известным (законным) открытым ключом. Для начала вам необходимо скачать этот ключ.
Изображение подписи выглядит так:
Это встроенная подпись (включенная в тот же файл, который она проверяет). Иногда эта подпись будет отделена и помещена в отдельный файл. Если вы измените хотя бы одну букву в этом текстовом файле, подпись перестанет быть действительной. Это способ узнать наверняка, что разработчик утвердил и подписал именно эти конкретные активы с правильной контрольной суммой.
Открытые ключи доступны для загрузки в разделе « Ключи подписи выпуска Bitcoin Core » на странице загрузки Bitcoin. В качестве меры предосторожности вы можете скачать их из другого источника. Если злоумышленник заменит законные ключи своим закрытым ключом, вы найдете правильные ключи (и отпечатки пальцев) во всех других местах, где они были опубликованы или обсуждались.
Щелкните правой кнопкой мыши SHA256SUMS.asc и выберите «Расшифровать и проверить» . Программа сообщит вам, что у вас нет открытого ключа. Нажмите «Поиск».
Поиск может занять некоторое время. Обратите внимание на строку в поле Найти.
Вы можете скопировать и вставить в Google, чтобы увидеть отпечатки открытых ключей, которые обсуждались на законных веб-сайтах или форумах. Чем в большем количестве мест вы найдете этот открытый ключ, тем больше вы будете уверены в том, что он принадлежит законному владельцу.
Нажмите на ключ и затем введите его. Вы можете нажать «Нет» в появившемся следующем сообщении (принять меры для подтверждения ключа), если вы не знаете, как или не хотите сделать это прямо сейчас.
Наконец, нажмите «Показать журнал аудита» .
Вы увидите текст «Хорошая подпись» , выделенный на следующем изображении.
Попробуйте изменить всего одну букву в SHA256SUMS.asc, и вы получите результат, показанный на следующем изображении.
Очень немногие разработчики дают вам возможность проверить, принадлежит ли программное обеспечение им. Но обычно программы, обрабатывающие конфиденциальные или очень важные данные, предоставляют вам такую возможность. Используйте опцию проверки цифровой подписи, и однажды это может избавить вас от неприятностей.
Надеюсь, вы добьетесь успеха.
Если у вас возникли проблемы с установкой или обновлением приложения «Магазин» в Windows 10, это может быть связано с проблемой с кешем магазина. Узнайте как <strong>очистить кеш магазина Microsoft</strong> для вашей учетной записи в Windows 10.
Кейлоггер - это программное обеспечение для захвата и сбора информации о нажатиях клавиш. Узнайте о лучших бесплатных кейлоггерах для Windows. Как защитить свои данные!
Если вы используете Microsoft Edge на общем компьютере с Windows 10 и хотите сохранить конфиденциальность своей истории просмотров, узнайте, как настроить Edge для запуска в режиме InPrivate.
Вы можете решить многие проблемы, возникающие в Windows 11, с помощью настройки системы. Например, если игра не запускается, открытие и изменение настроек MSConfig может решить проблему.
VPNBook — бесплатный провайдер VPN с неограниченной пропускной способностью, идеален для доступа к заблокированным сайтам. Узнайте, как настроить VPN на Windows за считанные минуты.
Узнайте, как включить или отключить встроенное автозаполнение в адресной строке проводника и диалоговом окне «Выполнить» в Windows 10. Следуйте нашим простым шагам!
Windows 10 предоставляет <strong>меню параметров загрузки</strong>, позволяющее исправлять проблемы и перенастраивать систему. Узнайте, как получить доступ к этому меню.
Кнопка «Удобство доступа» на экране входа в Windows 10 дает возможность пользователям запускать приложения, такие как диспетчер задач и командную строку, для улучшения доступа и функциональности.
Эта статья поможет вам настроить переключение между веб-камерами на компьютере с Windows 10. Убедитесь, что у вас по умолчанию установлена нужная веб-камера.
Узнайте, как быстро и удобно открыть Блокнот в Windows 11 различными способами. Bлокнот — это незаменимое текстовое приложение, которое всегда под рукой.
