Este tutorial explica un proceso claro y paso a paso de 1 minuto para verificar que un archivo en su poder fue firmado digitalmente por una clave secreta de GPG en particular y no se ha modificado desde el momento de la firma.
Pasos
Parte 1 de 2: Descargar lo que necesita
Para verificar su creencia de que alguien ha firmado un archivo, necesitará una copia de la clave pública de esa persona, una copia del archivo y una copia del archivo de firma que supuestamente se creó a través de la interacción de la clave secreta de la persona y el expediente.
Paso 1. Adquirir la clave pública
Importe la clave pública a GPG
Paso 2. Adquiera una copia del archivo en cuestión
Guárdelo en una carpeta
Paso 3. Adquiera una copia del archivo de firma en cuestión
Guárdelo en la misma carpeta
Parte 2 de 2: Uso de GPG para verificar que la clave secreta de alguien firmó el archivo en cuestión
GPG lo ayudará a verificar la relación entre sus tres archivos.
Paso 1. Abra una interfaz de línea de comandos
Cambie el directorio de trabajo a la Carpeta donde se guardan su archivo y el archivo de firma
Paso 2. Verifique la firma
- Escriba el siguiente comando en una interfaz de línea de comandos:
-
gpg --verify [archivo de firma] [archivo]
- Por ejemplo, si ha adquirido
- (1) el Llave pública 0x416F061063FEE659,
- (2) el paquete del navegador Tor expediente (tor-browser.tar.gz) y
- (3) el archivo de firma publicado junto con el archivo Tor Browser Bundle (tor-browser.tar.gz.asc),
- Escribirías lo siguiente:
-
gpg --verify tor-browser.tar.gz.asc tor-browser.tar.gz
Advertencia
- Aunque ahora está seguro de que la clave secreta vinculada a la clave pública que posee se usó para firmar el archivo, aún debe tomar precauciones para asegurarse de que esta clave pública realmente pertenezca a la persona a la que cree que pertenece. Nada impide que un adversario haga llaves que aparecer pertenecer a alguien.
- Si no ha importado la clave pública de alguien a su anillo de claves GPG, este procedimiento no funciona.
- La persona puede nombrar el archivo de firma como quiera: los nombres del archivo y el archivo de firma no necesitan ser similares o relacionados.