我是网络安全领域的新手,我正在尝试安装 Nmap 和 Zenmap。在打开可执行文件安装 Nmap 之前,我想通过 Kleopatra 验证分离的 PGP 签名。但是,我不确定如何下载公钥来执行此操作。Nmap Sigs 页面列出了文件,但当我在 Firefox 中打开它们时,信息不会下载文件,而是在新窗口中打开。
我是否应该将签名数据复制并粘贴到设备上的文件中,然后将其设为签名文件?如果是这样,我是否必须特别格式化该文件,或者我可以将其复制并粘贴到记事本中,然后使用 Kleopatra 将其设为签名?
答案1
假设它是 ASCII 装甲的(以 -----BEGIN PGP SIGNED MESSAGE----- 开头,等等):
复制整个消息,从该行开始到 -----END PGP SIGNATURE----- 结束(包括这两行本身)。
在 Kleopatra 中,单击“记事本”按钮。
将消息粘贴到文本框中。
单击“解密/验证记事本”。
如果您的密钥环中还没有签名者的公钥,系统会提示您“无法验证数据”,并显示一些乱码,右侧会显示一个按钮,提示您导入/搜索密钥。如果您的某个文件中有密钥,请单击“导入”;或者单击“搜索”以尝试从公钥服务器中找到它。
一旦你获得了签名者的公钥,你很可能仍会被告知“无法验证数据”。这并不是因为签名不好(否则它会说“无效签名”)!签名(大概)是有效的,因为它确实是用这个密钥制作的。只是,据 GnuPG 所知,没有理由相信密钥上的所有者信息是准确的!任何人都可以创建一个密钥,并附加他们喜欢的任何名称,因此验证真正的所有者取决于你。(通常这意味着通过一些更可信的渠道与他们验证他们的密钥指纹,例如亲自或通过电话。)
单击输出框中的超链接名称/电子邮件/密钥 ID,打开一个包含更多详细信息的窗口。如果您确信密钥是真实的,请继续单击“认证”并按照说明进行操作。(我的做法是,如果我只是判断是否接受它,则“只为自己认证”,如果我亲自验证了所有 ID 信息的准确性,则“向所有人认证”)。
一旦您认证了密钥,验证签名就会出现一个令人愉快的绿色框,上面写着“[某某] 的有效签名”。