Deze how-to legt een duidelijk en stapsgewijs proces van 1 minuut uit om te verifiëren dat een bestand in uw bezit digitaal is ondertekend door een bepaalde GPG-geheime sleutel en niet is gewijzigd sinds het moment van ondertekening.
Stappen
Deel 1 van 2: Downloaden wat je nodig hebt
Om uw overtuiging te verifiëren dat iemand een bestand heeft ondertekend, hebt u een kopie nodig van de openbare sleutel van die persoon, een kopie van het bestand en een kopie van het handtekeningbestand dat naar verluidt is gemaakt door de interactie van de geheime sleutel van de persoon en de het dossier.
Stap 1. Verkrijg de openbare sleutel
Importeer de openbare sleutel in GPG
Stap 2. Verkrijg een kopie van het betreffende bestand
Sla het op in een map
Stap 3. Verkrijg een kopie van het betreffende handtekeningbestand
Sla het op in dezelfde map
Deel 2 van 2: GPG gebruiken om te verifiëren dat iemands geheime sleutel het bestand in kwestie heeft ondertekend
GPG helpt u de relatie tussen uw drie bestanden te verifiëren.
Stap 1. Open een opdrachtregelinterface
Wijzig de werkdirectory naar de map waarin uw bestand en handtekeningbestand zijn opgeslagen
Stap 2. Controleer de handtekening
- Typ de volgende opdracht in een opdrachtregelinterface:
-
gpg --verify [handtekeningbestand] [bestand]
- Bijvoorbeeld, als je hebt verworven
- (1) de Publieke sleutel 0x416F061063FEE659,
- (2) de Tor Browser-bundel het dossier (tor-browser.tar.gz), en
- (3) de handtekeningbestand geplaatst naast het Tor Browser Bundle-bestand (tor-browser.tar.gz.asc),
- Je zou het volgende typen:
-
gpg --verifieer tor-browser.tar.gz.asc tor-browser.tar.gz
Waarschuwing
- Hoewel u er nu zeker van bent dat de geheime sleutel die is gekoppeld aan de openbare sleutel die u bezit, is gebruikt om het bestand te ondertekenen, moet u toch voorzorgsmaatregelen nemen om ervoor te zorgen dat deze openbare sleutel daadwerkelijk toebehoort aan de persoon waarvan u denkt dat deze toebehoort. Niets weerhoudt een tegenstander ervan om sleutels te maken die verschijnen aan iemand toebehoren.
- Als je de openbare sleutel van iemand niet in je GPG-sleutelhanger hebt geïmporteerd, werkt deze procedure niet.
- De persoon mag het handtekeningbestand elke naam geven die hij wil: de namen van het bestand en het handtekeningbestand hoeven niet gelijk of gerelateerd te zijn.