Как можно проверить подписи контрольной суммы PGP RSA и / или DSA для замазки?

5005
Eliptical View

Чтобы проверить целостность загрузки замазки, как лучше всего сначала проверить подпись PGP "SHA-512: (RSA sig) | (DSA sig) ") этих файлов контрольных сумм для замазки? (Я предполагаю, что «подпись» означает «подписано».)

Со страницы загрузки шпаклевки:

MD5: md5sums (or by FTP) (RSA sig) (DSA sig) SHA-1: sha1sums (or by FTP) (RSA sig) (DSA sig) SHA-256: sha256sums (or by FTP) (RSA sig) (DSA sig) SHA-512: sha512sums (or by FTP) (RSA sig) (DSA sig) 

Я уже знаю, как проверить контрольную сумму в виде простого текста (sha512sums), используя что-то вроде HashSlash, но меня интересуют контрольные суммы со знаком RSA / DSA (вверху справа).

Когда я открываю загруженный файл sig DSA с помощью текстового редактора, первая строка «----- BEGIN PGP SIGNED MESSAGE -----».

Поэтому я пошел на сайт PGP и углубился в то, что выглядело как последняя версия Windows PGP 8.0 . Но это привело меня на сайт Symantec, где они продают продукты «Powered by PGP Technology», которые не похожи на то, что я ищу.

Итак, как лучше всего проверить эти подписи контрольной суммы PGP в эти дни?

Заранее спасибо за помощь.


Заметки:

  • Мне нужна замазка для входа по SSH на мой сайт.
  • Другие доступные версии PGP кажутся довольно старыми.
7

1 ответ на вопрос

8
grawity

The most popular tool is GnuPG, normally a command-line tool, but the Gpg4win project has a bundle of GnuPG for Windows along with two graphical interfaces.

$ gpg --verify putty.exe.DSA putty.exe gpg: Signature made 2013-08-06T20:21:29 EEST gpg: using DSA key FECD6F3F08B0A90B gpg: Good signature from "PuTTY Releases (DSA) " [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 00B1 1009 38E6 9800 6518 F0AB FECD 6F3F 08B0 A90B 

(I had imported the signer's public key before. You will need to do that too, as well as find a way of making sure that you have the correct key and not a fake one...)

While PGP Corporation was bought by Symantec long ago, among their various PGP-based products you can still find trial versions of Symantec Desktop Email Encryption and Symantec Encryption Desktop Corporate which are a continuation of the original PGP for Windows and commercial PGP Desktop 8.x–9.x.

Trial versions of PGP Desktop 8.x can be found in various places. It is likely that 7.x will work just fine for verifying the signatures, even if it lacks security fixes and updates.

Не могли бы вы объяснить, как вы импортировали открытый ключ подписанта раньше? Я попытался использовать мастер-ключ и ключ разблокировки, предоставленные здесь (http://www.chiark.greenend.org.uk/~sgtatham/putty/keys.html), с помощью этой команды: gpg --import public.key, но попытка была отклонена потому что не было никакого действительного идентификатора пользователя. dx486 9 лет назад 1
@ dx486: ключи RSA имеют очень старый (и небезопасный) формат, и современные версии GnuPG их больше не принимают. Вам может понадобиться `--allow-non-selfsigned-uid` или даже установить" gnupg1 ". grawity 9 лет назад 1

Похожие вопросы