Come posso generare un file .gpg per verificare lo stucco?

3

Ho scaricato il programma di installazione di Putty da ssh.com , che ha detto

To import the signature key into GPG, use:

gpg --import putty-release-2015.asc

To check the signature of a file, use:

gpg --verify <signaturefile> <datafile>

For example:

gpg --verify putty-64bit-0.70-installer.msi.gpg putty-64bit-0.70-installer.msi

L'esecuzione del primo comando di esempio ha funzionato correttamente. Ho usato gpg --list-keys per verificare di avere la chiave di rilascio dal sito web di Putty .

Il secondo comando di esempio mi ottiene

gpg: can't open 'putty-64bit-0.70-installer.msi.gpg': No such file or directory

Ho esaminato il manuale di verifica della firma da GnuPG , ma a meno che non dovessi trovare una firma staccata, non vedo da dove provenga il file .gpg .

    
posta Noumenon 02.09.2017 - 03:04
fonte

1 risposta

3

Il file della firma contiene la firma fatta dalla chiave OpenPGP dell'autore del software sull'applicazione e quindi dimostra la paternità (dato che anche la chiave è validata a chi dovrebbe appartenere). Non c'è davvero alcun uso nel crearne uno personale: la firma proverebbe che l'utente ha firmato l'applicazione, ma ciò non aiuta a garantire che nessuno abbia manomesso il software scaricato. Se si fosse in grado di creare una firma valida nel nome dell'autore per conto proprio, l'intero processo di firma digitale andrebbe perso.

Cerca invece la firma originale, che viene fornita proprio accanto al download del software.

    
risposta data 02.09.2017 - 08:13
fonte

Leggi altre domande sui tag