Cách giải thích này giải thích một quy trình rõ ràng và từng bước, kéo dài 1 phút để xác minh rằng một tệp mà bạn sở hữu đã được ký điện tử bằng Khóa bí mật GPG cụ thể và chưa được sửa đổi kể từ thời điểm ký.
Các bước
Phần 1/2: Tải xuống những gì bạn cần
Để xác minh niềm tin của bạn rằng ai đó đã ký vào tệp, bạn sẽ cần bản sao Khóa công khai của người đó, bản sao tệp và bản sao tệp chữ ký được cho là được tạo thông qua sự tương tác của Khóa bí mật của người đó và tập tin.
Bước 1. Lấy Khóa công khai
Nhập Khóa công khai vào GPG
Bước 2. Nhận bản sao của tệp được đề cập
Lưu nó trong một thư mục
Bước 3. Lấy một bản sao của tệp chữ ký được đề cập
Lưu nó trong cùng một Thư mục
Phần 2/2: Sử dụng GPG để xác minh rằng khóa bí mật của ai đó đã ký vào tệp được đề cập
GPG sẽ giúp bạn xác minh mối quan hệ giữa ba tệp của bạn.
Bước 1. Mở giao diện dòng lệnh
Thay đổi thư mục làm việc thành Thư mục nơi tệp và tệp chữ ký của bạn được lưu
Bước 2. Xác minh chữ ký
- Nhập lệnh sau vào giao diện dòng lệnh:
-
gpg --verify [signature-file] [file]
- Ví dụ: nếu bạn đã có được
- (1) cái Khóa công khai 0x416F061063FEE659,
- (2) Gói trình duyệt Tor tập tin (tor-browser.tar.gz) và
- (3) cái tập tin chữ ký được đăng cùng với tệp Tor Browser Bundle (tor-browser.tar.gz.asc),
- Bạn sẽ nhập như sau:
-
gpg - xác minh tor-browser.tar.gz.asc tor-browser.tar.gz
Cảnh báo
- Mặc dù bây giờ bạn chắc chắn Khóa bí mật liên kết với Khóa công khai mà bạn sở hữu đã được sử dụng để ký tệp, bạn vẫn phải thực hiện các biện pháp phòng ngừa để đảm bảo rằng Khóa công khai này thực sự thuộc về người mà bạn tin rằng nó thuộc về. Không có gì ngăn cản kẻ thù tạo ra chìa khóa hiện ra thuộc về ai đó.
- Nếu bạn chưa nhập Khóa công khai của ai đó vào Khóa GPG của mình, quy trình này không hoạt động.
- Người đó có thể đặt tên cho tệp chữ ký bất cứ thứ gì họ muốn: tên của tệp và tệp chữ ký không cần phải giống nhau hoặc có liên quan.