¿Cómo se verifican las firmas de suma de verificación PGP RSA y / o DSA para masilla?

8

Para verificar la integridad de descarga de masilla , ¿cómo es la mejor manera de verificar primero la firma PGP "SHA-512: (RSA sig) | (DSA sig) " de estos archivos de suma de verificación para masilla? (Supongo que "sig" significa firmado).

Desde la página de descarga de masilla:

MD5:        md5sums     (or by FTP)     (RSA sig)   (DSA sig)
SHA-1:      sha1sums    (or by FTP)     (RSA sig)   (DSA sig)
SHA-256:    sha256sums  (or by FTP)     (RSA sig)   (DSA sig)
SHA-512:    sha512sums  (or by FTP)     (RSA sig)   (DSA sig)

Ya sé cómo verificar la suma de verificación de texto sin formato (sha512sums) usando algo como HashSlash , pero estoy interesado en las sumas de verificación firmadas por RSA / DSA (arriba a la derecha).

Cuando abro el archivo de firma DSA descargado con un editor de texto, la primera línea es "----- COMIENCE EL MENSAJE FIRMADO POR PGP -----".

Así que fui al sitio de PGP y profundicé en lo que parecía la última versión para Windows PGP 8.0 . Pero me hizo clic en el sitio de Symantec donde venden productos "Powered by PGP Technology" que no se parece a lo que estoy buscando.

Entonces, ¿cuál es la mejor manera de verificar estas firmas de PGP de suma de verificación en estos días?

Gracias de antemano por tu ayuda.


Notas:

  • Necesito masilla para los inicios de sesión SSH en el host de mi sitio web.
  • Las otras versiones disponibles de PGP parecen bastante antiguas.
Vista elíptica
fuente

Respuestas:

8

La herramienta más popular es GnuPG , normalmente una herramienta de línea de comandos, pero el proyecto Gpg4win tiene un paquete de GnuPG para Windows junto con dos interfaces gráficas.

$ gpg --verify putty.exe.DSA putty.exe
gpg: Firma realizada 2013-08-06T20: 21: 29 EEST
gpg: uso de la clave DSA FECD6F3F08B0A90B
gpg: Buena firma de "PuTTY Releases (DSA)" [desconocido]
gpg: ADVERTENCIA: ¡Esta clave no está certificada con una firma confiable!
gpg: no hay indicios de que la firma pertenezca al propietario.
Huella digital de clave principal: 00B1 1009 38E6 9800 6518 F0AB FECD 6F3F 08B0 A90B

(Importé la clave pública del firmante antes. También deberá hacerlo, así como encontrar una manera de asegurarse de tener la clave correcta y no falsa ...)

Si bien PGP Corporation fue comprada por Symantec hace mucho tiempo, entre sus diversos productos basados ​​en PGP todavía puede encontrar versiones de prueba de Symantec Desktop Email Encryption y Symantec Encryption Desktop Corporate, que son una continuación del PGP original para Windows y el PGP Desktop 8.x comercial –9.x.

Las versiones de prueba de PGP Desktop 8.x se pueden encontrar en varios lugares. Es probable que 7.x funcione bien para verificar las firmas, incluso si carece de correcciones de seguridad y actualizaciones.

Gravedad
fuente
1
¿Puede explicar cómo importó la clave pública del firmante antes? Traté de usar la clave maestra y la clave de liberación que se proporciona aquí ( chiark.greenend.org.uk/~sgtatham/putty/keys.html ) mediante este comando: gpg --import public.key pero el intento fue rechazado porque no había ninguna validez ID de usuario
Teo
1
@ dx486: las claves RSA son de un formato muy antiguo (e inseguro), y las versiones modernas de GnuPG ya no las aceptan. Es posible que necesite --allow-non-selfsigned-uido incluso instalar "gnupg1".
Grawity