موقع مؤلفاتي البرمجية وملحقاتها

سبل التحقق من مصداقية وسلامة الملفات الموجودة على هذا الموقع

وضع الشبكة الأمني على وضعه الحالي كارثة، والناس لا تكترث لأسباب شتى منها الجهلٍ أو انعدام الحيلة أو الإنشغال بما هو أهم. HTTPS و TLS يقللان من المشكلة ولكن لا يقضيان عليها، والمشكلة تتفاقم ويشتد ضررها إذا كان سبيل اتصالك HTTP بحيث يسهل على كل من اراد التعبث بالبيانات إن يقوم بذلك، بما فيه مزودوا الخدمة والمؤسسات التجارية وحتى الأفراد (إضافة فايرفوكس...).

وبالفعل، انتشر الأمر واستفحل، وصار الأمر متوقعًا، فها هي الفنادق تضيف الإعلانات إلى كل صفحة HTTP توصلها، وها هي أخبار من يتصيد بيانات مدرسيه السرية تتكرر. حتى مستضيف موقعي هذا (bitbucket) يضيف مخطوطة جافاسكربت لكل صفحاتي.

بغض النظر عن ما إذا كان هذه التعبث لأغراض مفيدة أو لغيرة، فإن الخطر أمني للبرمجيات الذي يمثله التعبث في البيانات أمر غير مقبول.

لهذا تجد جميع مزودي البرمجيات الأكفاء (دبيان مثلا) يمكنون مستخدميهم من التححقق من مصداقية البرمجيات، إما باستخدام gpg أو ما يكافئه.

هدفي من موقعي هذا توزيع برمجياتي ولذلك فإن برمجياتي مصدقة (توقيع منفصل ذا صيغة .sig باستخدام gpg). وأنصحك بأن تتحقق من مصداقية أي ملف تقتنيه من هذا الموقع. تجد التصاديق بين قوسين بجانب روابط تنزيل البرامج.

استخدام gpg

ينبغي عليك أن تضيف مفتاحي العلني إلى gpg قبل أن تتمكن من التحقق من مصداقية الملفات (التفاصيل في صفحة بيانات الإتصال). التحقق من مصداقية الملف يكون في إصدار أمر واحد في الطرفية:

gpg --verify filename.sig filename
            

ابدل filename باسم الملف الذي اردت ان تتحقق منه. إن كان الملف سليم ستكون مخرجات gpg كما يلي:

gpg: Signature made Sun 09 Feb 2014 08:32:35 AM AST using RSA key ID 050E80CD
gpg: Good signature from "Sulaiman A. Mustafa (seininn) <seininn@hush.com>"
            

gpg: Signature made Sun 09 Feb 2014 08:32:35 AM AST using RSA key ID 050E80CD
gpg: BAD signature from "Sulaiman A. Mustafa (seininn) <seininn@hush.com>"