Denna instruktion förklarar en tydlig och steg-för-steg-1-minuters process för att verifiera att en fil i din besittning signerades digitalt av en viss GPG Secret Key och har varit oförändrad sedan undertecknandet.
Steg
Del 1 av 2: Ladda ner det du behöver
För att verifiera din uppfattning att någon har signerat en fil behöver du en kopia av personens offentliga nyckel, en kopia av filen och en kopia av signaturfilen som påstås skapats genom interaktionen mellan personens hemliga nyckel och fil.
Steg 1. Förvärva den offentliga nyckeln
Importera den offentliga nyckeln till GPG
Steg 2. Skaffa en kopia av filen i fråga
Spara det i en mapp
Steg 3. Skaffa en kopia av signaturfilen i fråga
Spara det i samma mapp
Del 2 av 2: Använda GPG för att verifiera att någons hemliga nyckel signerade filen i fråga
GPG hjälper dig att verifiera förhållandet mellan dina tre filer.
Steg 1. Öppna ett kommandoradsgränssnitt
Ändra arbetskatalogen till mappen där din fil och signaturfil sparas
Steg 2. Verifiera signaturen
- Skriv följande kommando i ett kommandoradsgränssnitt:
-
gpg-verifiera [signaturfil] [fil]
- Till exempel om du har förvärvat
- (1) Offentlig nyckel 0x416F061063FEE659,
- (2) Tor Browser -paketet fil (tor-browser.tar.gz) och
- (3) signaturfil publiceras vid sidan av Tor Browser Bundle-filen (tor-browser.tar.gz.asc),
- Du skulle skriva följande:
-
gpg-verifiera tor-browser.tar.gz.asc tor-browser.tar.gz
Varning
- Även om du nu är säker på att den hemliga nyckeln som är bunden till den offentliga nyckeln du har använts för att signera filen, måste du fortfarande vidta försiktighetsåtgärder för att säkerställa att denna offentliga nyckel faktiskt tillhör personen du tror att den tillhör. Ingenting hindrar en motståndare från att göra nycklar som dyka upp att tillhöra någon.
- Om du inte har importerat någons offentliga nyckel till din GPG -nyckelring fungerar den här proceduren inte.
- Personen kan namnge signaturfilen vad som helst: namnen på filen och signaturfilen behöver inte vara liknande eller relaterade.