Sto provando a verificare il nuovo download di GnuPG (per OS X) usando GnuPG. (Prima di tutto non sono sicuro se dovresti verificare un file con la sua versione precedente, che probabilmente non ho verificato a posteriori.)
Indovina cosa - la verifica non funziona:
gpg --verify GnuPG-2.1.2.dmg.sig GnuPG-2.1.2.dmg
gpg: Signature made Thu Feb 12 18:13:44 2015 CET using RSA key ID DD5F693B
gpg: Can't check signature: public key not found
Come posso farlo funzionare sul mio Mac?
La verifica di una firma OpenPGP non solo controlla se un file non è stato danneggiato (ad esempio durante la trasmissione) come farebbe un "normale" checksum SHA o MD5, ma controlla anche se la firma è stata emessa da chi finge di provenire ( in altre parole, se la firma sul file è stata emessa da una chiave specifica, a cui viene fatto riferimento anche nella firma).
Devi recuperare questa chiave (pubblica) prima di poter verificare la firma. Questo può essere facilmente ottenuto eseguendo gpg --recv-keys DD5F693B (ma sii consapevole di OpenPGP key ID collisioni e migliore configurazione utilizzando ID chiave lunga invece ).
Dopo aver recuperato la chiave, otterrai un risultato simile a questo:
gpg: assuming signed data in 'enigmail-1.8-tb+sm.xpi'
gpg: Signature made Tue Mar 17 13:31:23 2015 CET
gpg: using RSA key 0xDB1187B9DD5F693B
gpg: Good signature from "Patrick Brunschwig <[email protected]>"
gpg: aka "Patrick Brunschwig <[email protected]>"
gpg: aka "[jpeg image of size 13251]"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 4F9F 89F5 505A C1D1 A260 631C DB11 87B9 DD5F 693B
Ora sai che la chiave è stata realmente utilizzata per firmare il file scaricato ( "Buona firma da [...]" ). Tuttavia, questa chiave potrebbe essere stata rilasciata da tutti! Solo perché hai recuperato una chiave dai server delle chiavi, non c'è stata alcuna verifica da parte di nessuno sui suoi contenuti ancora .
Avere la chiave non è sufficiente per sapere chi (la persona) ha realmente firmato il file:
WARNING: This key is not certified with a trusted signature! There is no indication that the signature belongs to the owner.
Devi anche essere in grado di verificare la chiave non solo per verificare l'integrità del file (lo hai già ottenuto ora), ma anche per sapere da chi proviene. Per esempio, incontrando l'emittente e chiedendogli se è davvero la sua chiave, attraverso la rete di fiducia (o in un altro modo che consideri affidabile).
Ma questo è un altro argomento lungo.
Leggi altre domande sui tag gnupg