如何使用數位簽章檢查Windows軟體的真實性

每次從互聯網下載程式時，您都必須相信開發人員它不是惡意軟體。別無退路。但通常情況下，這不是問題，特別是對於著名的開發人員和軟體而言。

然而，託管軟體的網站更容易受到攻擊。攻擊者可以破壞網站的安全性並用惡意版本替換程式。惡意版本的外觀和功能與原始版本完全相同，只是它插入了後門。透過這個後門，攻擊者可以控制電腦的不同部分。您的電腦將插入殭屍網絡，或更糟的是，惡意軟體將等到您使用信用卡/金融卡並竊取您的登入資訊。下載作業系統、加密貨幣錢包或其他類似軟體等重要軟體時應特別小心。

使用數位簽章驗證 Windows 軟體的說明

• 數位簽名可以在當今時代保護您
• 如何使用Gpg4win驗證數位簽名
• 確認文件校驗和
• 檢查校驗和清單檔案簽名
• 輸入開發者公鑰

數位簽名可以在當今時代保護您

軟體編寫者可以「簽署」他們的產品。除非攻擊者可以竊取軟體編寫者的私鑰，否則其他人無法偽造此簽章。很多情況下，成千上萬的用戶下載了惡意程序，而幾乎在所有情況下，如果他們檢查數位簽名，就會發現它們是無效的，這種情況本來是可以避免的。替換易受攻擊的網站上的軟體相對容易，但竊取正確儲存且與網路存取隔離的私鑰則極為困難。

您可以在文章中閱讀有關數位簽章的更多資訊：如何使用數位簽章檢查 Linux 軟體的真實性。本文討論相同的內容，只不過您將使用 Windows 實用程式來驗證下載。

如何使用Gpg4win驗證數位簽名

下載並安裝Gpg4win。聰明的人會想知道如何確定這個軟體是合法的。這是一個很好的問題，如果這個下載頁面被破壞，那麼接下來的所有步驟都將是徒勞無功的。

幸運的是，開發人員 Gpg4win 已經克服了所有麻煩，讓他的軟體得到了認證機構的簽名，並在網站上詳細介紹了驗證他的程式的步驟。雖然使用相同的密碼學來檢查有效性，但整體方法會有所不同。為此使用數位證書。

確認文件校驗和

假設您想下載Bitcoin Core錢包。下載 Windows x64 執行檔（exe，而非zip）。然後，按一下「驗證發布簽章」下載SHA256SUMS.asc 檔案。第一步是驗證安裝檔案的哈希值。

轉到下載資料夾並安裝 Gpg4win，您現在可以右鍵單擊文件，然後會出現一個新的上下文選單。右鍵單擊比特幣安裝檔（您下載的exe）並選擇More GpgEX Options > Create checksums，如下圖所示。

開啟已建立的sha256sum.txt和下載的SHA256SUMS.asc檔案。比較 SHA256 校驗和，它們應該是相同的。

檢查校驗和清單檔案簽名

即使您剛剛從同一網站下載了安裝文件和校驗和列表，如果攻擊者替換了安裝文件，他也可以輕鬆替換校驗和列表。然而，駭客無法偽造簽名。這可以透過已知的（合法的）公鑰來確認。首先，您需要下載此金鑰。

簽名圖像如下所示：

這是一個內聯簽名（包含在它驗證的同一文件中）。有時，此簽名會被分開並放置在單獨的文件中。如果您僅更改此文字檔案中的一個字母，則簽名將不再有效。這是一種確定開發人員已批准並使用正確的校驗和簽署這些確切的特定資產的方法。

輸入開發者公鑰

您可以在比特幣下載頁面的「比特幣核心發布簽署金鑰」部分下載公鑰。作為預防措施，您可以從其他來源下載它們。如果攻擊者用他的私鑰替換合法密鑰，您將在發布或討論密鑰（和指紋）的所有其他位置找到正確的密鑰（和指紋）。

右鍵點選SHA256SUMS.asc並選擇解密和驗證。該程式會告訴您，您沒有公鑰。點選搜尋。

搜尋可能需要一段時間。記下「查找」欄位中的字串。

您可以複製並貼上到 Google 以查看合法網站或論壇上討論過的公鑰指紋。您找到此公鑰的地方越多，您就越能確定它屬於合法所有者。

按一下該金鑰，然後輸入它。如果您不知道如何操作或現在不想執行此操作，可以在接下來收到的提示中按一下「否」（採取措施確認金鑰）。

最後，按一下「顯示審核日誌」。

您將看到下圖中突出顯示的“好”簽名文字。

嘗試僅更改SHA256SUMS.asc 中的一個字母，您將得到如下圖所示的結果。

很少有開發人員能夠讓您檢查該軟體是否來自他們。但通常處理敏感或非常重要數據的程式會給你這個選項。使用數位簽名檢查選項，有一天它可能會幫你擺脫麻煩。

希望你成功。