Ten poradnik wyjaśnia jasny i krok po kroku, 1-minutowy proces sprawdzania, czy plik w Twoim posiadaniu został podpisany cyfrowo przez określony tajny klucz GPG i nie został zmodyfikowany od momentu podpisania.
Kroki
Część 1 z 2: Pobieranie tego, czego potrzebujesz
Aby zweryfikować swoje przekonanie, że ktoś podpisał plik, będziesz potrzebować kopii klucza publicznego tej osoby, kopii pliku oraz kopii pliku podpisu, który rzekomo został utworzony przez interakcję tajnego klucza tej osoby i plik.
Krok 1. Zdobądź klucz publiczny
Zaimportuj klucz publiczny do GPG
Krok 2. Uzyskaj kopię danego pliku
Zapisz go w folderze
Krok 3. Uzyskaj kopię pliku podpisu, o którym mowa
Zapisz go w tym samym folderze
Część 2 z 2: Używanie GPG do sprawdzania, czy czyjś tajny klucz podpisał kwestionowany plik
GPG pomoże Ci zweryfikować związek między Twoimi trzema plikami.
Krok 1. Otwórz interfejs wiersza poleceń
Zmień katalog roboczy na folder, w którym zapisany jest plik i plik podpisu
Krok 2. Sprawdź podpis
- Wpisz następujące polecenie w interfejsie wiersza poleceń:
-
gpg --verify [plik-podpisu] [plik]
- Np. jeśli nabyłeś
- (1) Klucz publiczny 0x416F061063FEE659,
- (2) Paczka Tora z przeglądarką plik (tor-browser.tar.gz) i
- (3) plik podpisu zamieszczone obok pliku Tor Browser Bundle (tor-browser.tar.gz.asc),
- Wpisałbyś:
-
gpg --weryfikuj tor-browser.tar.gz.asc tor-browser.tar.gz
Ostrzeżenie
- Chociaż masz teraz pewność, że tajny klucz powiązany z posiadanym kluczem publicznym został użyty do podpisania pliku, nadal musisz podjąć środki ostrożności, aby upewnić się, że ten klucz publiczny rzeczywiście należy do osoby, do której uważasz, że należy. Nic nie stoi na przeszkodzie, aby przeciwnik zrobił klucze, które pojawić się należeć do kogoś.
- Jeśli nie zaimportowałeś czyjegoś klucza publicznego do swojego zbioru kluczy GPG, ta procedura nie działa.
- Osoba może nazwać plik podpisu jak tylko chce: nazwy pliku i pliku podpisu nie muszą być podobne lub powiązane.