gpgでシグネチャ検証

良くダウンロードサイトなどに、本体と共にGPG Sigの様なファイルが置いてあるが、そのファイルの使い方

このファイルは、本体が改竄されたもので無いと証明してくれるファイルで、インターネット越しにファイルをダウンロードする場合は、極力改竄チェックをするべきである。

今日は libevent をダウンロードしようと思ったのでそれを例に以下を実行、確認。

$ curl http://monkey.org/~provos/libevent-2.0.12-stable.tar.gz -o libevent-2.0.12-stable.tar.gz

$ curl http://monkey.org/~provos/libevent-2.0.12-stable.tar.gz.asc -o libevent-2.0.12-stable.tar.gz.asc

$ gpg --verify libevent-2.0.12-stable.tar.gz.asc

gpg: Signature made Sun Jun 5 10:11:33 2011 JST using RSA key ID 8D29319A

gpg: Can't check signature: public key not found

# 公開鍵が無いので探す

$ gpg --recv-key 8D29319A

gpg: requesting key 8D29319A from hkp server subkeys.pgp.net

gpg: key 165733EA: public key "Nick Mathewson " imported

gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model

gpg: depth: 0 valid: 3 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 3u

gpg: Total number processed: 1

gpg: imported: 1 (RSA: 1)

# 公開鍵の確認

$ gpg --list-keys 8D29319A

pub 3072R/165733EA 2004-07-03

uid Nick Mathewson

uid Nick Mathewson

uid Nick Mathewson

uid [jpeg image of size 3369]

sub 3072R/8D29319A 2004-07-03

sub 3072R/F25B8E5E 2004-07-03

# ダウンロードしたファイルの検証

$ gpg --verify libevent-2.0.12-stable.tar.gz.asc libevent-2.0.12-stable.tar.gz

gpg: Signature made Sun Jun 5 10:11:33 2011 JST using RSA key ID 8D29319A

gpg: Good signature from "Nick Mathewson "

gpg: aka "Nick Mathewson "

gpg: aka "Nick Mathewson "

gpg: aka "[jpeg image of size 3369]"

gpg: WARNING: This key is not certified with a trusted signature!

gpg: There is no indication that the signature belongs to the owner.

Primary key fingerprint: B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EA

Subkey fingerprint: EF00 F369 1387 FCC5 8CD6 8E13 9103 97D8 8D29 319A