پی جی پی کا استعمال نہ صرف سائبر خطرات سے معلومات کو محفوظ کرنے کے لیے بلکہ فائل کی سالمیت کو چیک کرنے کے لیے بھی کیا جاتا ہے۔
یہ ٹیوٹوریل آسانی سے بتاتا ہے کہ PGP کیسے کام کرتا ہے اور پی جی پی دستخطوں کی تصدیق کیسے کریں .
پی جی پی کیسے کام کرتا ہے
نیچے دی گئی تصویر میں PGP پبلک کلید کو دکھایا گیا ہے۔ اس PGP پبلک کلید کو صرف ایک مخصوص پرائیویٹ PGP کلید کے ساتھ ڈکرپٹ کیا جا سکتا ہے۔ ذیل میں عوامی کلید جاری کرنے والے نے ایک نجی پی جی پی کلید بھی جاری کی کیونکہ وہ اسی عمل میں پیدا ہوتی ہیں۔ وہ صرف عوامی کلید بانٹتا ہے۔
اگر آپ کسی پیغام کو خفیہ کرنے کے لیے اس کی عوامی کلید لیتے ہیں تو وہ اپنی نجی کلید کا استعمال کرتے ہوئے پیغام کو ڈکرپٹ کر سکے گا۔ صرف اس کی نجی کلید اس پیغام کو خفیہ کر سکتی ہے جسے آپ نے اپنی عوامی کلید کا استعمال کرتے ہوئے خفیہ کیا ہے۔
عوامی کلید کا استعمال کرتے ہوئے معلومات کو خفیہ کیا جاتا ہے ، اور نجی کلید کا استعمال کرتے ہوئے ڈکرپٹ کیا جاتا ہے۔ اسے کہتے ہیں۔ غیر متناسب خفیہ کاری .
لہذا اگر کوئی حملہ آور نجی کلید کے بغیر پیغام کو روکنے میں کامیاب ہو جائے تو وہ پیغام کا مواد دیکھنے سے قاصر ہے۔
غیر متناسب خفیہ کاری کا فائدہ چابیاں کے تبادلے میں سادگی ہے۔ لیکن اس کا نقصان یہ ہے کہ یہ بڑی مقدار میں ڈیٹا کو خفیہ نہیں کر سکتا ، اور اسی وجہ سے پی جی پی ان دونوں کو لاگو کرتا ہے۔
ہم آہنگ خفیہ کاری کا اطلاق اس وقت ہوتا ہے جب عوامی کلید کو محفوظ ڈیٹا کو خفیہ کرنے کے لیے استعمال کیا جاتا ہے۔ عوامی کلید کے ساتھ ، بھیجنے والا دو چیزیں کرتا ہے: پہلے ڈیٹا کی حفاظت کے لیے ہم آہنگ خفیہ کاری تیار کرتا ہے ، اور پھر یہ غیر متناسب خفیہ کاری کا اطلاق کرتا ہے ، جو ڈیٹا کو خود ہی خفیہ نہیں کرتا ہے ، بلکہ توازن کلید ، جو ڈیٹا کی حفاظت کرتی ہے۔
زیادہ تکنیکی ہونے کے لیے ، اس سے پہلے کہ توازن کلید کا اطلاق ہوتا ہے ، اعداد و شمار کو توازن والی کلید اور عوامی کلید کے ساتھ خفیہ ہونے سے پہلے بھی سکیڑا جاتا ہے۔ مندرجہ ذیل چارٹ فلو پورے عمل کو ظاہر کرتا ہے:
پی جی پی کے دستخط
پی جی پی کو پیکیج کی سالمیت چیک کرنے کے لیے بھی استعمال کیا جاتا ہے۔ یہ ڈیجیٹل دستخط کے ذریعے حاصل کیا جاتا ہے ، جو پی جی پی کے ساتھ کیا جا سکتا ہے۔
سب سے پہلے ، پی جی پی ایک ہیش تیار کرتا ہے جو نجی کلید کے ساتھ خفیہ ہوتا ہے۔ نجی کلید اور ہیش دونوں کو عوامی کلید کا استعمال کرتے ہوئے ڈکرپٹ کیا جا سکتا ہے۔
پی جی پی ڈیجیٹل دستخط بناتا ہے ، مثال کے طور پر ، ڈی ایس اے یا آر ایس اے الگورتھم کا استعمال کرتے ہوئے آئی ایس او امیج کے لیے۔ اس معاملے میں ، نجی کلید سافٹ ویئر یا آئی ایس او امیج سے منسلک ہے ، جو پہلے بیان کردہ آپریشن کے برعکس ہے۔ عوامی کلید بھی مشترکہ ہے۔
جاری کردہ سافٹ ویئر سے منسلک دستخط کی تصدیق کے لیے صارفین عوامی کلید کا استعمال کرتے ہیں۔
مندرجہ ذیل چارٹ کے بہاؤ سے پتہ چلتا ہے کہ کس طرح پرائیویٹ کلید اور ہیش سافٹ ویئر کے ساتھ منسلک ہے اور صارف کس طرح سافٹ ویئر کو منسلک ہیش اور پرائیویٹ کلید کے ساتھ پبلک کلید کے ساتھ دستخط کی تصدیق کے لیے لیتا ہے۔
میں پی جی پی کے دستخط کی تصدیق کیسے کروں؟
پہلی مثال سے پتہ چلتا ہے کہ لینکس کرنل کے دستخط کی تصدیق کیسے کی جائے۔ اسے آزمانے کے لیے ، رسائی حاصل کریں۔ https://kernel.org اور ایک دانا ورژن اور اس کی پی جی پی فائل ڈاؤن لوڈ کریں۔ اس مثال کے لیے ، میں فائلیں ڈاؤن لوڈ کروں گا۔ لینکس -5.12.7.tar.xz۔ اور linux-5.12.7.tar.sign .
پہلی مثال ظاہر کرتی ہے کہ ایک ہی کمانڈ سے دستخط کی تصدیق کیسے کی جائے۔ مین پیج کے مطابق ، اس آپشن کا مجموعہ مستقبل کے ورژن میں فرسودہ ہونے والا ہے۔ تاہم ، یہ اب بھی بڑے پیمانے پر استعمال ہوتا ہے ، اور جب کہ مخصوص امتزاج کو فرسودہ کردیا جائے گا ، اختیارات باقی رہیں گے۔
پہلا آپشن۔ ys keyserver-options کلیدی سرور کے لیے اختیارات کی وضاحت کرنے کی اجازت دیتا ہے جہاں عوامی چابیاں محفوظ ہوتی ہیں۔ بنیادی طور پر ، یہ عوامی چابیاں لانے کے اختیارات کے نفاذ کی اجازت دیتا ہے۔
کی ys keyserver-options کے ساتھ مل جاتا ہے۔ – آٹو کلید بازیافت۔ دستخطوں کی تصدیق کرتے وقت کیسرور سے عوامی چابیاں خود بخود حاصل کرنے کا آپشن۔
عوامی چابیاں تلاش کرنے کے لیے ، یہ کمانڈ دستخط کو پڑھ لے گی جو کہ ویب کی ڈائرکٹری کا استعمال کرتے ہوئے ایک تلاش کے عمل کے ذریعے ایک متعین ترجیحی کلیدی سرور یا دستخط کنندہ کی شناخت کو تلاش کرے گی۔
gpg-keyserver-optionsآٹو کلید بازیافت-تصدیق کریںlinux-5.12.7.tar.sign 
جیسا کہ آپ دیکھ سکتے ہیں ، دستخط اچھا ہے ، لیکن ایک انتباہی پیغام ہے کہ جی پی جی اس بات کی تصدیق نہیں کر سکتا کہ دستخط مالک کے ہیں۔ کوئی بھی عوامی دستخط گریگ کروہان ہارٹ مین کے طور پر جاری کر سکتا ہے۔ آپ جانتے ہیں کہ دستخط جائز ہے کیونکہ آپ اس سرور پر اعتماد کرتے ہیں جس سے آپ نے اسے ڈاؤن لوڈ کیا ہے۔ اس معاملے میں ، اس کی وضاحت kernel.org سے ڈاون لوڈ کیے گئے.
یہ انتباہ ہمیشہ موجود رہتا ہے ، اور آپ اختیار کو استعمال کرتے ہوئے دستخطی قابل اعتماد فہرست میں دستخط شامل کرکے اس سے بچ سکتے ہیں۔ ترمیم کی ٹرسٹ۔ . سچ یہ ہے کہ کوئی صارف ایسا نہیں کرتا ، اور Gpg کمیونٹی نے وارننگ ہٹانے کی درخواست کی۔
SHA256SUMS.gpg کی تصدیق
مندرجہ ذیل مثال میں ، میں اپنے باکس میں پائی جانے والی ایک پرانی کالی لینکس تصویر کی سالمیت کی تصدیق کروں گا۔ اس مقصد کے لیے میں نے SHA256SUMS.gpg اور SHA256SUMS فائلیں ایک ہی iso امیج سے متعلقہ ڈاؤن لوڈ کی ہیں۔
ایک بار جب آپ iso امیج ، SHA256SUMS.gpg ، اور SHA256SUMS ڈاؤن لوڈ کرتے ہیں ، آپ کو عوامی چابیاں حاصل کرنے کی ضرورت ہوتی ہے۔ مندرجہ ذیل مثال میں ، میں چابیاں استعمال کرتے ہوئے لاتا ہوں۔ ویجٹ اور gpg – امپورٹ۔ (کلی تصدیق کی ہدایات اس کلیدی سرور سے منسلک ہیں)۔
پھر میں gpg کو کال کرکے فائل کی سالمیت کی تصدیق کرتا ہوں۔ تصدیق کریں دلیل:
ویجٹ -ق -یا- https://archive.kali.org/archive-key.asc|gpg-امپورٹgpg-تصدیق کریںSHA256SUMS.gpg SHA256SUMS۔
جیسا کہ آپ دیکھ سکتے ہیں ، دستخط اچھا ہے ، اور تصدیق کامیاب رہی۔
مندرجہ ذیل مثال سے پتہ چلتا ہے کہ نوڈ جے ایس ڈاؤن لوڈ کی تصدیق کیسے کی جائے۔ پہلی کمانڈ غلطی لوٹاتی ہے کیونکہ کوئی عوامی کلید نہیں ہے۔ خرابی بتاتی ہے کہ مجھے کلید 74F12602B6F1C4E913FAA37AD3A89613643B6201 تلاش کرنے کی ضرورت ہے۔ عام طور پر ، آپ ہدایات میں کلیدی شناخت بھی تلاش کرسکتے ہیں۔
آپشن استعمال کرکے۔ ys کیسرور ، میں کلید کی تلاش کے لیے سرور کی وضاحت کر سکتا ہوں۔ آپشن استعمال کرکے۔ –recv کیز ، میں چابیاں بازیافت کرتا ہوں۔ پھر تصدیق کام کرتی ہے:
gpg-تصدیق کریںSHASUMS256.txt.ascمیں وہ کلید کاپی کرتا ہوں جس کی مجھے ضرورت ہوتی ہے ، اور پھر میں چلاتا ہوں:
gpg-keyserverpool.sks-keyservers.net--recv کیز74F12602B6F1C4E913FAA37AD3A89613643B6201
gpg-تصدیق کریںSHASUMS256.txt.asc
gpg کیز کی تلاش:
اگر خود بخود چابیاں حاصل کرنا کام نہیں کرتا ہے اور آپ کو تصدیق سے متعلق ہدایات نہیں مل پاتی ہیں ، آپ اختیار کو استعمال کرتے ہوئے کلید کو کلیدی سرور میں تلاش کرسکتے ہیں۔ -تلاش کی .
gpg-تلاش کی74F12602B6F1C4E913FAA37AD3A89613643B6201 
جیسا کہ آپ دیکھ سکتے ہیں ، چابی مل گئی۔ آپ جس کلید کو بازیافت کرنا چاہتے ہیں اس کا نمبر دباکر اسے دوبارہ حاصل کرسکتے ہیں۔
نتیجہ
ڈاؤن لوڈ کی سالمیت کی تصدیق سنگین مسائل کو روک سکتی ہے یا ان کی وضاحت کر سکتی ہے ، مثال کے طور پر ، جب ڈاؤن لوڈ کردہ سافٹ وئیر صحیح طریقے سے کام نہیں کرتا ہے۔ gpg کے ساتھ عمل بہت آسان ہے ، جیسا کہ اوپر دکھایا گیا ہے ، جب تک کہ صارف کو تمام ضروری فائلیں مل جائیں۔
غیر متناسب خفیہ کاری یا عوامی اور نجی چابیاں پر مبنی خفیہ کاری کو سمجھنا انٹرنیٹ پر محفوظ طریقے سے بات چیت کرنے کی بنیادی ضرورت ہے ، مثال کے طور پر ، ڈیجیٹل دستخطوں کا استعمال کرتے ہوئے۔
مجھے امید ہے کہ پی جی پی دستخطوں پر یہ سبق مددگار تھا۔ مزید لینکس ٹپس اور ٹیوٹوریلز کے لیے لینکس اشارے پر عمل کرتے رہیں۔