Denne veiledningen forklarer en klar og trinnvis, 1-minutters prosess for å bekrefte at en fil i din besittelse var digitalt signert av en bestemt GPG Secret Key og har blitt umodifisert siden signeringstidspunktet.
Trinn
Del 1 av 2: Last ned det du trenger
For å bekrefte din tro på at noen har signert en fil, trenger du en kopi av vedkommendes offentlige nøkkel, en kopi av filen og en kopi av signaturfilen som angivelig ble opprettet gjennom samspillet mellom personens hemmelige nøkkel og fil.
Trinn 1. Skaff den offentlige nøkkelen
Importer den offentlige nøkkelen til GPG
Trinn 2. Skaff deg en kopi av den aktuelle filen
Lagre den i en mappe
Trinn 3. Skaff deg en kopi av den aktuelle signaturfilen
Lagre den i samme mappe
Del 2 av 2: Bruke GPG til å bekrefte at noens hemmelige nøkkel signerte den aktuelle filen
GPG hjelper deg med å bekrefte forholdet mellom de tre filene.
Trinn 1. Åpne et kommandolinjegrensesnitt
Endre arbeidskatalogen til mappen der filen og signaturfilen er lagret
Trinn 2. Bekreft signaturen
- Skriv inn følgende kommando i et kommandolinjegrensesnitt:
-
gpg-bekreft [signaturfil] [fil]
- For eksempel hvis du har skaffet deg
- (1) den Offentlig nøkkel 0x416F061063FEE659,
- (2) Tor Browser -pakken fil (tor-browser.tar.gz) og
- (3) den signaturfil lagt ut sammen med Tor Browser Bundle-filen (tor-browser.tar.gz.asc),
- Du ville skrive følgende:
-
gpg-bekreft tor-browser.tar.gz.asc tor-browser.tar.gz
Advarsel
- Selv om du nå er sikker på at den hemmelige nøkkelen som er bundet til den offentlige nøkkelen du har, ble brukt til å signere filen, må du fortsatt ta forhåndsregler for å sikre at denne offentlige nøkkelen faktisk tilhører personen du tror den tilhører. Ingenting hindrer en motstander i å lage nøkler som vises å tilhøre noen.
- Hvis du ikke har importert noens offentlige nøkkel til GPG -nøkkelen, fungerer ikke denne prosedyren.
- Personen kan navngi signaturfilen hva de vil: navnene på filen og signaturfilen trenger ikke å være like eller relaterte.
