← Back to team overview

sslug-teknik team mailing list archive

Re: PGP signing af programmer

 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Peter Toft <pto@xxxxxxxx> writes:

> Jeg har lige downloaded ssh-1.2.27
> 
> -rw-r--r--   1 pto      pto           152 Jul 10 03:00 ssh-1.2.27.tar.gz.sig
> -rw-r--r--   1 pto      pto       1022546 Jul 10 03:09 ssh-1.2.27.tar.gz    
> 
> Hvordan kan jeg bruge ssh-1.2.27.tar.gz.sig ?
> Det er noget check ligesom MD5 checksum ikke sandt ?
> Kobler det til PGP og/eller GPG ???

Ja, det er en digital underskrift som både PGP og GnuPG kan verificere.
Det forudsætter to ting:

  1) At man har lagt ssh-distributørens offentlige nøgle ind i sin nøglering
  2) For GnuPG desuden at man har installeret RSA-udvidelsen (contrib/rsa.c)

Verificere med PGP:    pgp          ssh-1.2.27.tar.gz.sig ssh-1.2.27.tar.gz
Verificere med GnuPG:  gpg --verify ssh-1.2.27.tar.gz.sig ssh-1.2.27.tar.gz

For ssh-1.2.26* ser de gode svar således ud (imellem en masse anden tekst):

PGP:
     Good signature from user "Ssh distribution key <ylo@xxxxxxxxx>".
     Signature made 1998/07/08 16:43 GMT using 1024-bit key, key ID DCB9AE01

GnuPG:
 gpg: Signature made ons 08 jul 1998 18:42:39 MEST using RSA key ID DCB9AE01
 gpg: Good signature from "Ssh distribution key <ylo@xxxxxxxxx>"

- -- 
Ulrik Dickow <ukd@xxxxxxxxxx>    (Phone +45 36 39 08 00, Fax +45 36 77 03 01)
DSA/ELG-E: 46EF 15D6 83CC 4C28 0147  33A6 F6EE DF20 184B C4D9 (ID 0x184BC4D9)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v0.9.8 (GNU/Linux)
Comment: By Mailcrypt 3.5.2 and GNU Privacy Guard, http://www.gnupg.org

iD8DBQE3khVJ9u7fIBhLxNkRAg1vAJ9GZr4mjcwynXBnGwASm8Ob6gQUYwCfQv8g
7qZTz3TJgM9TvhdNccQtsK4=
=OnDa
-----END PGP SIGNATURE-----


References