Ce mode d'emploi explique un processus clair et étape par étape d'une minute pour vérifier qu'un fichier en votre possession a été signé numériquement par une clé secrète GPG particulière et qu'il n'a pas été modifié depuis le moment de la signature.
Pas
Partie 1 sur 2: Télécharger ce dont vous avez besoin
Pour vérifier que vous pensez que quelqu'un a signé un fichier, vous aurez besoin d'une copie de la clé publique de cette personne, d'une copie du fichier et d'une copie du fichier de signature qui aurait été créé par l'interaction de la clé secrète de la personne et du déposer.
Étape 1. Acquérir la clé publique
Importez la clé publique dans GPG
Étape 2. Obtenez une copie du fichier en question
Enregistrez-le dans un dossier
Étape 3. Obtenez une copie du fichier de signature en question
Enregistrez-le dans le même dossier
Partie 2 sur 2: Utilisation de GPG pour vérifier que la clé secrète de quelqu'un a signé le fichier en question
GPG vous aidera à vérifier la relation entre vos trois fichiers.
Étape 1. Ouvrez une interface de ligne de commande
Remplacez le répertoire de travail par le dossier dans lequel votre fichier et votre fichier de signature sont enregistrés
Étape 2. Vérifiez la signature
- Tapez la commande suivante dans une interface de ligne de commande:
-
gpg --verify [fichier-signature] [fichier]
- Par exemple, si vous avez acquis
- (1) le Clé publique 0x416F061063FEE659,
- (2) le Bundle du navigateur Tor déposer (tor-browser.tar.gz), et
- (3) le fichier-signature publié à côté du fichier Tor Browser Bundle (tor-browser.tar.gz.asc),
- Vous taperez ce qui suit:
-
gpg --verify tor-browser.tar.gz.asc tor-browser.tar.gz
Avertissement
- Bien que vous soyez maintenant certain que la clé secrète liée à la clé publique que vous possédez a été utilisée pour signer le fichier, vous devez toujours prendre des précautions pour vous assurer que cette clé publique appartient réellement à la personne à laquelle vous pensez qu'elle appartient. Rien n'empêche un adversaire de fabriquer des clés qui apparaître appartenir à quelqu'un.
- Si vous n'avez pas importé la clé publique de quelqu'un dans votre trousseau de clés GPG, cette procédure ne fonctionne pas.
- La personne peut nommer le fichier de signature comme elle veut: les noms du fichier et du fichier de signature n'ont pas besoin d'être similaires ou liés.
