In che modo GPG2 --verify sa chi ha firmato un file e come? [chiuso]

Naviga le tue risposte
-2

Quando firmo (cancella) un file, l'output è simile a questo. 

$ gpg2 --clearsign test
$ cat test.asc 
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

This is a test!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iQIcBAEBCAAGBQJaCdV1AAoJEMEJof2E4sLlE5YP/2tee+p+3W6rdp49kHXGE6gY
... AND SO ON ...
Olgtxrs9j1BZqvjkjp41
=7Kzg
-----END PGP SIGNATURE-----

Ora quando verificherò questo file, 

$ gpg2 --verify test.asc

GPG sembra sapere quale chiave è stata utilizzata e chi ha firmato il file.

Da dove riceve queste informazioni?

Lo stesso vale per $ gpg2 --detach-sign test : 

$ cat test.sig
��g����H��cc�~�"V�9n�'6�����|%�xQ��e���Y��/ͩH��j_tGMF�[!��ɍ��
...
���E��4�+�A3g�g��1�CЙ1��k1�Q�'����a��N���}zA)�HŌ�#PF^x�|
    
posta user1511417 13.11.2017 - 18:43
fonte

1 risposta

2

La firma contiene l'ID della chiave che ha firmato il messaggio. Viene quindi cercato nel tuo portachiavi e se la chiave viene trovata, vengono visualizzati i dettagli.

Altrimenti (ad esempio, verificando su una macchina diversa, dove la chiave non è importata) ti verrà dato solo l'id della chiave che lo ha firmato.

Nota anche che gpg2 sa solo quale tasto ha firmato il file. Chi ha firmato i file è una domanda leggermente diversa. Dovresti aver verificato che la chiave appartiene alla persona a cui dichiara di appartenere, direttamente o attraverso la rete di fiducia. Se non hai verificato in alcun modo chi è il proprietario della chiave, potrebbe essere stato firmato da chiunque.

    
risposta data 14.11.2017 - 00:44
fonte

Leggi altre domande sui tag

I PC sono realmente vulnerabili agli attacchi di tipo Spettro a causa dell'indirizzamento dello spazio utente virtuale? [duplicare] Creazione di terminale bash portatile e cmd su USB [chiuso]