Questo how-to spiega una procedura chiara e dettagliata di 1 minuto per verificare che un file in tuo possesso sia stato firmato digitalmente da una particolare chiave segreta GPG e non sia stato modificato dal momento della firma.
Passi
Parte 1 di 2: download di ciò di cui hai bisogno
Per verificare la tua convinzione che qualcuno abbia firmato un file, avrai bisogno di una copia della chiave pubblica di quella persona, una copia del file e una copia del file della firma che è stato presumibilmente creato attraverso l'interazione della chiave segreta della persona e del file.
Passaggio 1. Acquisire la chiave pubblica
Importa la chiave pubblica in GPG
Passaggio 2. Acquisire una copia del file in questione
Salvalo in una cartella
Passaggio 3. Acquisire una copia del file di firma in questione
Salvalo nella stessa cartella
Parte 2 di 2: utilizzo di GPG per verificare che la chiave segreta di qualcuno abbia firmato il file in questione
GPG ti aiuterà a verificare la relazione tra i tuoi tre file.
Passaggio 1. Aprire un'interfaccia della riga di comando
Cambia la directory di lavoro nella cartella in cui sono salvati il file e il file della firma
Passaggio 2. Verifica la firma
- Digita il seguente comando in un'interfaccia della riga di comando:
-
gpg --verify [file-firma] [file]
- Ad esempio, se hai acquisito
- (1) il Chiave pubblica 0x416F061063FEE659,
- (2) il pacchetto Tor Browser file (tor-browser.tar.gz), e
- (3) il file-firma pubblicato insieme al file Tor Browser Bundle (tor-browser.tar.gz.asc),
- Dovresti digitare quanto segue:
-
gpg --verify tor-browser.tar.gz.asc tor-browser.tar.gz
Avvertimento
- Anche se ora sei certo che la chiave segreta associata alla chiave pubblica in tuo possesso sia stata utilizzata per firmare il file, devi comunque prendere precauzioni per assicurarti che questa chiave pubblica appartenga effettivamente alla persona a cui ritieni appartenga. Nulla impedisce a un avversario di creare chiavi che apparire appartenere a qualcuno.
- Se non hai importato la chiave pubblica di qualcuno nel tuo portachiavi GPG, questa procedura non funziona.
- La persona può nominare il file della firma come vuole: i nomi del file e del file della firma non devono necessariamente essere simili o correlati.