我正在尝试使用windows 10验证文件的签名,我相信我可能遇到了鸡蛋和鸡肉的问题,期待一些专业人士的建议。
我试图验证Maven二进制文件的签名(https://maven.apache.org/download.cgi),所以我找到了这份文档https://infra.apache.org/release-signing#verifying-签名然而,我使用的是Windows 10,它没有内置gpg:"gpg"不能被识别为内部或外部命令。
所以我需要下载GNUPG,这样我就可以用它来验证我的Maven二进制文件的签名。
但是,要安装GNUPG(https://www.gnupg.org/download/index.html)我还应该验证来自GNUPG的.sig文件。
有人知道我如何使用任何内置的Windows10命令行来验证GNUPG文件吗?还是最明智的策略?
非常感谢
问候
就我个人而言,我认为你必须在某个地方划清界限。
对我来说,我要么从源代码编译GPG(如果你希望你可以/其他人可以审计代码(,要么使用发布的SHA-1(不确定他们为什么仍然使用SHA-1(哈希:
d928d4bd0808ffb8fe20d1161501401d5d389458 gnupg-2.2.27.tar.bz2
9f2ff2ce36b6537f895ab3306527f105ff95df8d gnupg-w32-2.2.27_20210111.exe
5e620d71fc24d287a7ac2460b1d819074bb8b9bb libgpg-error-1.42.tar.bz2
6b18f453fee677078586279d96fb88e5df7b3f35 libgcrypt-1.9.3.tar.bz2
740ac2551b33110e879aff100c6a6749284daf97 libksba-1.5.1.tar.bz2
ec4f67c0117ccd17007c748a392ded96dc1b1ae9 libassuan-2.5.5.tar.bz2
3bbd98e5cfff7ca7514ae600599f0e1c1f351566 ntbtls-0.2.0.tar.bz2
f9d63e9747b027e4e404fe3c20c73c73719e1731 npth-1.6.tar.bz2
b8b88cab4fd844e3616d55aeba8f084f2b98fb0f pinentry-1.1.1.tar.bz2
5ae07a303fcf9cec490dabdfbc6e0f3b8f6dd5a0 gpgme-1.15.1.tar.bz2
3f8a0ba9c7821049d51b982141a2330a246beb55 scute-1.7.0.tar.bz2
61475989acd12de8b7daacd906200e8b4f519c5a gpa-0.10.0.tar.bz2
e708d4aa5ce852f4de3f4b58f4e4f221f5e5c690 dirmngr-1.1.1.tar.bz2
a7d5021a6a39dd67942e00a1239e37063edb00f0 gnupg-2.0.31.tar.bz2
13747486ed5ff707f796f34f50f4c3085c3a6875 gnupg-1.4.23.tar.bz2
d4c9962179d36a140be72c34f34e557b56c975b5 gnupg-w32cli-1.4.23.exe
然后,从中开始,您可以回顾性地验证签名。
在某种程度上,你是对的,它变成了一个鸡和蛋的问题,这是密码工程中反复出现的主题,同样,你必须在某个地方划清界限。
我的意思是,你能验证GPG的私钥(即对二进制文件进行签名(使用的p和q素数是否已经使用Miller Rabin素性测试的正确实现进行了验证吗?
或者应该是一个基于椭圆曲线的密钥,用于生成私有标量的熵很高。。。
不!所以不用太担心,你已经超出了普通用户的OpSec一个数量级。