Notepad++ potwierdza autentyczność sygnaturą GPG. Komercyjny certyfikat jest nieosiągalny
Autor edytora Notepad++, przeznaczonego między innymi dla programistów, stanął przed interesującym wyzwaniem. Wygasł certyfikat, którym program był podpisywany dla potwierdzenia autentyczności. Notepad++ nie będzie już podpisywany certyfikatem – jego autor znalazł inne rozwiązanie.
02.04.2019 | aktual.: 17.04.2019 12:12
Rejestracja certyfikatu tylko dla bogatych
Certyfikat, którym Don Ho podpisywał swój program, pochodził z dotacji. Po jego wygaśnięciu programista starał się zarejestrować nowy pod nazwą programu, czyli Notepad++, ale okazało się to niemożliwe. To nic, że Don Ho rozwija bardzo popularny program. Nazwa nie jest zarejestrowana jako firma ani organizacja, więc w oczach dostawców certyfikatów nie istnieje, a nieistniejący głosu nie mają.
Drugim problemem, jak się pewnie domyślacie, jest cena komercyjnego certyfikatu, potwierdzającego autentyczność oprogramowania. Kontrola programu i klucz kryptograficzny kosztują kilkadziesiąt lub kilkaset dolarów, zależnie od wydawcy.
Bez certyfikatu Windows ostrzega przed instalacją
Weryfikacja autentyczności programu ma dwa cele. Najważniejszym jest oczywiście zapewnienie bezpieczeństwa użytkownikom. Kryptograficzny podpis gwarantuje, że instalator programu nie został zmodyfikowany, a wydawcy możemy zaufać.
Drugą, bardziej prozaiczną zaletą posiadania certyfikatu do podpisywania programu, jest niestraszenie użytkowników. Nic tak nie zniechęca do instalacji interesującego programu, jak ostrzeżenia przeglądarki lub Windowsa o niezweryfikowanej tożsamości wydawcy. Wielu użytkowników te ostrzeżenia wyłącza i bierze pełną odpowiedzialność za bezpieczeństwo, ale nie jest to najlepsze rozwiązanie.
GPG jest idealnym wyjściem z sytuacji
Autor popularnego edytora znalazł inne wyjście z sytuacji. Jego rozwiązanie nie kosztuje ani grosza, a potwierdza autentyczność programu nie gorzej, niż komercyjny certyfikat. Notepad++ od wersji 7.6.5 jest podpisywany kluczem GPG. Projekt The GNU Privacy Guard to wolny zamiennik oprogramowania kryptograficznego PGP, implementujący ten sam standard RFC4880. Biblioteki są dostępne na licencji GPL3 i można z nich korzystać bez dodatkowych opłat. Uniwersalność tego rozwiązania zaś gwarantuje tak samo skuteczne podpisywanie wiadomości wysyłanych przez komunikatory, jak i instalatorów edytorów dla programistów.
Jak sprawdzić, czy mój Notepad++ jest autentyczny?
Do sprawdzenia, czy plik Notepad++ pochodzi z odpowiedniego źródła i nie został naruszony, potrzebny jest program obsługujący GPG. Polecamy Gpg4Win. To narzędzie bardzo proste w obsłudze z przejrzystym interfejsem graficznym.
Po instalacji trzeba dodać do niego klucz publiczny autora programu. Wystarczy pobrać plik z kluczem publicznym ze strony producenta i zaimportować go do programu kryptograficznego (wystarczy kliknąć dwukrotnie ikonę pliku, Kleopatra zrobi resztę). By być pewnym, że klucz jest autentyczny, trzeba porównać jego dane i "odcisk palca" z opisem na GitHubie lub jedną z wielu baz kluczy publicznych.
Przy pobieraniu instalatora Notepad++ trzeba ściągnąć także odpowiadający mu podpis GPG. Wszystkie zostały wyszczególnione na stronie wydawcy. Po otwarciu pliku z podpisem instalatora, program obsługujący GPG znajdzie także instalator i zweryfikuje jego autentyczność, korzystając z klucza publicznego.
Rozwiązanie to wymaga trochę dodatkowej pracy, ale warto włożyć nieco wysiłku w poznanie praktycznych zalet GPG. Don Ho wpadł na świetny pomysł, jak zapewnić bezpieczeństwo swojego produktu, a przy tym nie dokładać do interesu. Choć wciąż nie zapewnia to wysokiej reputacji w rankingu zabezpieczeń SmartScreen Windowsa, lepsze takie zabezpieczenie, niż żadne. Mam nadzieję, że inni wydawcy też pójdą w tym kierunku.
Najnowszą wersję programu Notepad++ znajdziecie w naszej bazie, odpowiednie sygnatury zaś na tej stronie.