GnuPG non verifica la firma durante la decrittografia

4

Ho firmato il file 1.txt , il file risultato è 1.txt.asc . Ho modificato il contenuto nel file 1.txt.asc (contenuto firmato, non firma). Poi verifica la firma in 1.txt.asc e ottengo informazioni che la firma non è corretta e va bene. Poi crittaggio il% modificato1.txt.asc, il file risultato è 1.txt.asc.gpg . Quindi decifro quel file e dovrei ottenere informazioni che la firma non è corretta, ma non ci sono tali informazioni. Dalla documentazione:

--decrypt [=file=] Decrypt file ... If the decrypted file is signed, the signature is also verified.

Ho anche salvato i dati decodificati in un altro file, quindi ho verificato la firma e ottengo informazioni che la firma non è corretta. Quindi sembra che l'operazione di decrittografia non abbia verificato la firma. Perché è così?

    
posta ctomek 16.03.2016 - 10:16
fonte

2 risposte

2

Bene, quindi penso che la risposta migliore sarà semplicemente dire che la documentazione è fuorviante. La frase:

--decrypt [=file=] Decrypt file ... If the decrypted file is signed, the signature is also verified.

sembra che significhi che il file è decodificato, quindi quel file decrittografato viene controllato se contiene una firma. Se contiene una firma, quella firma viene verificata.

Ma non è così. Questa linea di documentazione significa che se il file crittografato è stato firmato, quella firma è stata verificata.

    
risposta data 16.03.2016 - 13:13
fonte
3

gpg verificherà la firma se la firma è sopra il contenuto crittografato. In altre parole, supponiamo di generare fileA.gpg come segue:

  • gpg -r [Some ID] -o tmp.gpg -e fileA
  • gpg -s -o fileA.gpg tmp.gpg

Quindi gpg -d fileA.gpg convaliderà la firma del contenuto crittografato e quindi procederà a decrittografare i dati se la firma è buona. Ora se lo facciamo nell'ordine inverso di operazioni, cioè:

  • gpg -s -o tmp.gpg fileB
  • gpg -r [Some ID] -o fileB.gpg -e tmp.gpg

Quindi gpg -d fileB.gpg semplicemente decrittografa il file e il risultato è una firma, ma gpg non procede a fare nulla con la firma. In altre parole, gpg verifica la firma solo quando esegue la decrittografia se la firma è per i dati che decodifica .

    
risposta data 16.03.2016 - 10:49
fonte

Leggi altre domande sui tag