Como verificar um arquivo de download usando um arquivo .sig e uma chave pública no Windows 10?

2

Estou interessado em instalar o aplicativo Electron Cash do site electroncash.org (Electron-Cash-2.9.4.exe) e o site indica que, para ter certeza da integridade do download, devo verificar a autenticidade do download. Arquivo.

O site me aponta para a página do github dos desenvolvedores para obter as chaves e os hashes. Eu deduzi que das 3 chaves públicas naquele link, aquela a ser usada é provavelmente aquela chamada jonaldkey.txt (embora haja algum outro jonaldkey2.txt por algum motivo) e há um arquivo .sig que presumivelmente contém o hash.

No Windows 10, como posso usar a chave pública (jonaldkey.txt) e o hash (Electron-Cash-2.9.4.exe.sig) para verificar meu arquivo baixado (Electron-Cash-2.9.4.exe) ?

    
por Highly Irregular 15.11.2017 / 11:01

1 resposta

4

Há um aplicativo Gpg4win , que lida com assinatura e verificação de arquivos. Ele tem seu Compêndio , em cuja 110ª página lemos:

Checking a signature

Now check the integrity of the file that has just been signed, i.e. check that it is correct! To check for integrity and authenticity, the signature file – hence the file with the ending .sig , .asc , .p7s or .pem – and the signed original file (original file) must be in the same file folder. Select the signature file and select the entry Decrypt and check from the Windows Explorer context menu:

Context menu

Obviamente, você precisa instalá-lo com extensão de shell. Opção para verificar se um arquivo .SIG está sob o Mais Opções GpgEX . Para verificar seu programa, usei estas etapas:

  • baixado jonaldkey.txt , não o outro, e o arquivo Electron-Cash-2.9.4.exe.sig
  • renomeou jonaldkey.txt para jonaldkey.PEM
  • clique com o botão direito no .SIG e escolha Verificar
  • o programa disse que não pode verificar por causa de uma chave desconhecida, então cliquei no botão Importar
  • Fui solicitado a criar minha própria chave para verificar a chave pública de outra pessoa. Por isso, infelizmente, fui solicitado a aceitar uma impressão digital dessa chave pública, que não está disponível em nenhum lugar
  • depois disso, escolho a chave recém-importada no processo de verificação e ela é aprovada.

Verifiqueasomadeverificação(nãoaassinatura)

VocêtambémpodebaixaroarquivoSHA1.Electron-Cash-2.9.4.exe.txt,queéumarquivodetexto,renomeá-lopara.sha1.Eutenhoduasferramentasàminhadisposição,queverificamsomasdeverificação.Sãoeles:7zipeTotalCommanderdeGhisler.Oprimeiroadicionaummenudecontextopermitindoquevocêmostreváriassomasdeverificaçãodeumarquivoclicado,nessecasoclicamoscomobotãodireitodomouseemumarquivo.exe(nãoo.sig)everificamosasomaexibidacomoarquivodetextoSHA1baixado.OúltimopermitequevocêpressioneEnternosarquivos*.sha,*.md5,*.sfvetc.eexibaosresultadoscomoOKouFAIL.

    
por 15.11.2017 / 13:07