要验证下载的完整性油灰,首先验证“SHA-512”的最佳方法是什么:(RSA 签名)|(DSA 签名)“这些校验和文件的 PGP 签名是否适用于 Putty? (我猜测“sig”的意思是签名。)
从 putty 下载页面:
MD5: md5sums (or by FTP) (RSA sig) (DSA sig)
SHA-1: sha1sums (or by FTP) (RSA sig) (DSA sig)
SHA-256: sha256sums (or by FTP) (RSA sig) (DSA sig)
SHA-512: sha512sums (or by FTP) (RSA sig) (DSA sig)
我已经知道如何验证纯文本校验和(sha512sums)使用类似哈希斜线,但我对 RSA/DSA 签名的校验和(右上)感兴趣。
当我使用文本编辑器打开下载的 DSA sig 文件时,第一行是“-----BEGIN PGP SIGNED MESSAGE-----”。
所以我去了普吉特网站并深入了解了看起来像是最新版本的 WindowsPGP 8.0。但它让我进入了赛门铁克网站,他们在那里销售“采用 PGP 技术”的产品,但这看起来并不是我想要的。
那么目前验证这些校验和 PGP 签名的最佳方法是什么?
在此先感谢您的帮助。
笔记:
- 我需要 putty 来通过 SSH 登录到我的网站主机。
- PGP 的其他可用版本似乎相当旧。
答案1
最受欢迎的工具是基努,通常是命令行工具,但是Gpg4win该项目包含适用于 Windows 的 GnuPG 包以及两个图形界面。
$ gpg --verify putty.exe.DSA putty.exe gpg: 签名于 2013-08-06T20:21:29 EEST 完成 gpg:使用 DSA 密钥 FECD6F3F08B0A90B gpg: 来自“PuTTY Releases (DSA) ”的良好签名 [未知] gpg:警告:此密钥未经可信签名认证! gpg:没有迹象表明该签名属于所有者。 主键指纹:00B1 1009 38E6 9800 6518 F0AB FECD 6F3F 08B0 A90B
(我之前已经导入了签名者的公钥。您也需要这样做,同时找到一种方法来确保您拥有正确的密钥而不是假密钥......)
虽然 PGP 公司早已被赛门铁克收购,但在其各种基于 PGP 的产品中,你仍然可以找到试用版赛门铁克桌面电子邮件加密和赛门铁克加密桌面企业版它们是原始 Windows 版 PGP 和商业版 PGP Desktop 8.x–9.x 的延续。
可以在多个地方找到 PGP Desktop 8.x 的试用版。即使缺少安全修复和更新,7.x 也很可能可以很好地验证签名。