やりたいこと

プログラム本体が正当なものかどうかを、sig署名ファイルとgpgコマンドを使って検証する。
sig署名ファイルの公開鍵を「–keyserver, –recv-key」で取得し、「–verify」で検証する。

検証したいファイル

プログラム本体:TrueCrypt Setup 7.1a.exe
sig署名ファイル:TrueCrypt Setup 7.1a.exe.sig

やり方

GnuPGをインストールする

とりあえず検証してみる

「F0D6B1E0」の公開鍵を持っていないため検証できない。(正常な動作)

なお、gpgコマンドを始めて実行した場合は、↓のようなメッセージが表示される。

「F0D6B1E0」の公開鍵を取得する

pgp.nic.ad.jp(PGP公開鍵サーバ)から「F0D6B1E0」の公開鍵を取得する。(pgp.mit.edu とかでもOK)
「hkp」はおそらく「HTTP Keyserver Protocol」の意味。
gpgの鍵を作成していないので「絶対的に信用する鍵が見つかりません」でOK

再度検証してみる

「“TrueCrypt Foundation ”からの正しい署名」となっているのでOK(ということにする)

補足

「$ gpg –gen-key」してから検証した場合は↓のようになる。

sigファイルの電子署名を確認する方法
このエントリーを Google ブックマーク に追加
LinkedIn にシェア
[`evernote` not found]
Pocket


Post navigation