Como as assinaturas desanexadas são usadas para verificar a integridade e autenticidade de um arquivo?

5

Entendo que a assinatura desanexada é gerada pela chave privada do assinante e que você usa a chave pública do assinante para verificar o arquivo baixado.

por exemplo,

gpg --verify package_name.asc

A assinatura é verificada usando a chave pública do assinante, mas como gpg sabe que a assinatura pertence ao pacote baixado? Estou faltando alguma coisa?

    
por user3247608 09.10.2014 / 04:45

1 resposta

4

Encontrando o arquivo para uma assinatura separada

gpg verificará automaticamente as assinaturas desanexadas em relação ao mesmo nome de arquivo, sem .asc ou .sig enxtension. De man gpg :

--verify
  Assume  that  the first argument is a signed file or a detached signature and
  verify it without generating any output. With  no  arguments,  the  signature
  packet  is  read from STDIN. If only a sigfile is given, it may be a complete
  signature or a detached signature, in which case the signed stuff is expected
  in a file without the ".sig" or ".asc" extension.  With more than 1 argument,
  the first should be a detached signature and  the  remaining  files  are  the
  signed  stuff.  To  read  the  signed stuff from STDIN, use '-' as the second
  filename.  For security reasons a detached signature cannot read  the  signed
  material from STDIN without denoting it in the above way.

Assim, gpg --verify package_name.asc espera que o arquivo assinado esteja disponível como package_name . Se não estiver (ou em outro local), forneça também o caminho para este arquivo:

gpg --verify detached_siganture.asc signed_file

É o arquivo correto?

O OpenPGP não espera que o nome do arquivo (ou qualquer outro identificador) seja armazenado na assinatura. Mas: a assinatura é a soma de hash do arquivo assinado, criptografada com a chave privada do assinante, para que possa ser descriptografada com sua chave pública. Se a soma de hashes descriptografada não corresponder à do arquivo usado para verificação, você saberá que o arquivo não é o mesmo que foi assinado (mas não pode dizer se é o arquivo errado por causa da seleção incorreta ou se foi violado ).

    
por 09.10.2014 / 12:48

Tags