Tento postup vysvětluje jasný a podrobný, 1minutový proces ověření, že soubor ve vašem vlastnictví byl digitálně podepsán konkrétním tajným klíčem GPG a nebyl od podpisu upravován.
Kroky
Část 1 ze 2: Stažení toho, co potřebujete
K ověření vašeho přesvědčení, že někdo podepsal soubor, budete potřebovat kopii veřejného klíče této osoby, kopii souboru a kopii podpisového souboru, který byl údajně vytvořen interakcí tajného klíče dané osoby a soubor.
Krok 1. Získejte veřejný klíč
Importujte veřejný klíč do GPG
Krok 2. Získejte kopii příslušného souboru
Uložte jej do složky
Krok 3. Získejte kopii příslušného podpisového souboru
Uložte jej do stejné složky
Část 2 ze 2: Použití GPG k ověření, že něčí tajný klíč podepsal dotyčný soubor
GPG vám pomůže ověřit vztah mezi vašimi třemi soubory.
Krok 1. Otevřete rozhraní příkazového řádku
Změňte pracovní adresář na složku, kde jsou uloženy váš soubor a podpisový soubor
Krok 2. Ověřte podpis
- Do rozhraní příkazového řádku zadejte následující příkaz:
-
gpg-ověřit [soubor podpisu] [soubor]
- Například pokud jste získali
- (1) Veřejný klíč 0x416F061063FEE659,
- (2) Tor Browser Bundle soubor (tor-browser.tar.gz) a
- (3) podpisový soubor zveřejněno vedle souboru Tor Browser Bundle (tor-browser.tar.gz.asc),
- Napsali byste následující:
-
gpg-ověřit tor-browser.tar.gz.asc tor-browser.tar.gz
Varování
- Přestože jste si nyní jisti, že k podpisu souboru byl použit tajný klíč vázaný na veřejný klíč, který vlastníte, musíte přesto učinit předběžná opatření, abyste zajistili, že tento veřejný klíč skutečně patří osobě, které podle vás patří. Nic nebrání tomu, aby protivník vytvořil klíče objevit někomu patřit.
- Pokud jste do klíče GPG neimportovali něčí veřejný klíč, tento postup nefunguje.
- Osoba může pojmenovat podpisový soubor, co chce: názvy souboru a podpisového souboru nemusí být podobné nebo související.