通过签名验证验证真实性 Windows 10
Verify Authenticity by signature verification Windows 10
我正在尝试使用我的 windows 10 验证文件的签名,我相信我可能遇到了先有鸡还是先有鸡的问题,期待专业人士的建议。
我正在尝试验证 Maven 二进制文件的签名 (https://maven.apache.org/download.cgi), so I found this documentation https://infra.apache.org/release-signing#verifying-signature
但是,我使用的是 Windows 10,它不是 gpg 内置的:'gpg' 不被识别为内部或外部命令。
所以我需要下载 GNUPG 以便我可以使用它来验证我的 Maven 二进制文件的签名。
但是,要安装 GNUPG (https://www.gnupg.org/download/index.html),我还应该验证来自 GNUPG 的 .sig 文件。
有谁知道如何使用任何 Windows 10 内置命令行来验证 GNUPG 文件?或者最明智的策略?
非常感谢
此致
我个人认为你必须在某处划清界限。
对我来说,我要么从源代码编译 GPG(如果您希望 can/others 可以审核代码),要么使用 published SHA-1(不知道为什么他们仍然使用 SHA-1) 哈希:
d928d4bd0808ffb8fe20d1161501401d5d389458 gnupg-2.2.27.tar.bz2
9f2ff2ce36b6537f895ab3306527f105ff95df8d gnupg-w32-2.2.27_20210111.exe
5e620d71fc24d287a7ac2460b1d819074bb8b9bb libgpg-error-1.42.tar.bz2
6b18f453fee677078586279d96fb88e5df7b3f35 libgcrypt-1.9.3.tar.bz2
740ac2551b33110e879aff100c6a6749284daf97 libksba-1.5.1.tar.bz2
ec4f67c0117ccd17007c748a392ded96dc1b1ae9 libassuan-2.5.5.tar.bz2
3bbd98e5cfff7ca7514ae600599f0e1c1f351566 ntbtls-0.2.0.tar.bz2
f9d63e9747b027e4e404fe3c20c73c73719e1731 npth-1.6.tar.bz2
b8b88cab4fd844e3616d55aeba8f084f2b98fb0f pinentry-1.1.1.tar.bz2
5ae07a303fcf9cec490dabdfbc6e0f3b8f6dd5a0 gpgme-1.15.1.tar.bz2
3f8a0ba9c7821049d51b982141a2330a246beb55 scute-1.7.0.tar.bz2
61475989acd12de8b7daacd906200e8b4f519c5a gpa-0.10.0.tar.bz2
e708d4aa5ce852f4de3f4b58f4e4f221f5e5c690 dirmngr-1.1.1.tar.bz2
a7d5021a6a39dd67942e00a1239e37063edb00f0 gnupg-2.0.31.tar.bz2
13747486ed5ff707f796f34f50f4c3085c3a6875 gnupg-1.4.23.tar.bz2
d4c9962179d36a140be72c34f34e557b56c975b5 gnupg-w32cli-1.4.23.exe
然后,从那里开始,您可以追溯验证签名。
你在某种程度上是对的,它变成了先有鸡还是先有蛋的问题,这是密码工程中反复出现的主题,因此,你必须在某处划清界限。
我的意思是,您是否能够使用 p 和 q 素数来验证 GPG 私钥(签署二进制文件)使用的正确实现 Miller-Rabin素性测试?
或者它应该是基于椭圆曲线的密钥,用于生成私有标量的熵很高? ...
没有!所以不用太担心,你已经超出了普通用户的 OpSec 一个数量级。
我正在尝试使用我的 windows 10 验证文件的签名,我相信我可能遇到了先有鸡还是先有鸡的问题,期待专业人士的建议。
我正在尝试验证 Maven 二进制文件的签名 (https://maven.apache.org/download.cgi), so I found this documentation https://infra.apache.org/release-signing#verifying-signature 但是,我使用的是 Windows 10,它不是 gpg 内置的:'gpg' 不被识别为内部或外部命令。
所以我需要下载 GNUPG 以便我可以使用它来验证我的 Maven 二进制文件的签名。
但是,要安装 GNUPG (https://www.gnupg.org/download/index.html),我还应该验证来自 GNUPG 的 .sig 文件。
有谁知道如何使用任何 Windows 10 内置命令行来验证 GNUPG 文件?或者最明智的策略?
非常感谢
此致
我个人认为你必须在某处划清界限。
对我来说,我要么从源代码编译 GPG(如果您希望 can/others 可以审核代码),要么使用 published SHA-1(不知道为什么他们仍然使用 SHA-1) 哈希:
d928d4bd0808ffb8fe20d1161501401d5d389458 gnupg-2.2.27.tar.bz2
9f2ff2ce36b6537f895ab3306527f105ff95df8d gnupg-w32-2.2.27_20210111.exe
5e620d71fc24d287a7ac2460b1d819074bb8b9bb libgpg-error-1.42.tar.bz2
6b18f453fee677078586279d96fb88e5df7b3f35 libgcrypt-1.9.3.tar.bz2
740ac2551b33110e879aff100c6a6749284daf97 libksba-1.5.1.tar.bz2
ec4f67c0117ccd17007c748a392ded96dc1b1ae9 libassuan-2.5.5.tar.bz2
3bbd98e5cfff7ca7514ae600599f0e1c1f351566 ntbtls-0.2.0.tar.bz2
f9d63e9747b027e4e404fe3c20c73c73719e1731 npth-1.6.tar.bz2
b8b88cab4fd844e3616d55aeba8f084f2b98fb0f pinentry-1.1.1.tar.bz2
5ae07a303fcf9cec490dabdfbc6e0f3b8f6dd5a0 gpgme-1.15.1.tar.bz2
3f8a0ba9c7821049d51b982141a2330a246beb55 scute-1.7.0.tar.bz2
61475989acd12de8b7daacd906200e8b4f519c5a gpa-0.10.0.tar.bz2
e708d4aa5ce852f4de3f4b58f4e4f221f5e5c690 dirmngr-1.1.1.tar.bz2
a7d5021a6a39dd67942e00a1239e37063edb00f0 gnupg-2.0.31.tar.bz2
13747486ed5ff707f796f34f50f4c3085c3a6875 gnupg-1.4.23.tar.bz2
d4c9962179d36a140be72c34f34e557b56c975b5 gnupg-w32cli-1.4.23.exe
然后,从那里开始,您可以追溯验证签名。
你在某种程度上是对的,它变成了先有鸡还是先有蛋的问题,这是密码工程中反复出现的主题,因此,你必须在某处划清界限。
我的意思是,您是否能够使用 p 和 q 素数来验证 GPG 私钥(签署二进制文件)使用的正确实现 Miller-Rabin素性测试?
或者它应该是基于椭圆曲线的密钥,用于生成私有标量的熵很高? ...
没有!所以不用太担心,你已经超出了普通用户的 OpSec 一个数量级。