Wie kann man die PGP RSA- und / oder DSA-Prüfsummen-Signaturen für Putty überprüfen?

5098
Eliptical View

Um die Download-Integrität von Putty zu überprüfen, wie kann man die PGP-Signatur dieser Checksummen-Dateien "SHA-512: (RSA sig) | (DSA sig) " zuerst überprüfen? (Ich vermute "sig" bedeutet signiert.)

Von der Kitt-Download-Seite:

MD5: md5sums (or by FTP) (RSA sig) (DSA sig) SHA-1: sha1sums (or by FTP) (RSA sig) (DSA sig) SHA-256: sha256sums (or by FTP) (RSA sig) (DSA sig) SHA-512: sha512sums (or by FTP) (RSA sig) (DSA sig) 

Ich weiß bereits, wie ich die Nur- Text-Checksumme (sha512sums) mit etwas wie HashSlash verifizieren kann, aber ich interessiere mich für die von RSA / DSA signierten Prüfsummen (oben rechts).

Wenn ich die heruntergeladene DSA-Sig-Datei mit einem Texteditor öffne, lautet die erste Zeile "----- BEGIN PGP SIGNED MESSAGE -----".

Also ging ich auf die PGP- Site und untersuchte die für Windows PGP 8.0 aktuellste Version . Es hat mich jedoch auf die Symantec-Site geklickt, auf der Produkte "Powered by PGP Technology" verkauft werden, die nicht so aussehen, wie ich es suche.

Wie kann man diese Checksum-PGP-Signaturen heutzutage am besten überprüfen?

Vielen Dank im Voraus für Ihre Hilfe.


Anmerkungen:

  • Ich benötige Kitt für SSH-Anmeldungen bei meinem Website-Host.
  • Die anderen verfügbaren Versionen von PGP scheinen ziemlich alt zu sein.
7

1 Antwort auf die Frage

8
grawity

Das bekannteste Werkzeug ist GnuPG, normalerweise ein Befehlszeilentool. Das Gpg4win- Projekt enthält jedoch ein Bündel GnuPG für Windows sowie zwei grafische Oberflächen.

$ gpg --verify putty.exe.DSA putty.exe gpg: Unterschrift gemacht 2013-08-06T20: 21: 29 EEST gpg: mit DSA-Schlüssel FECD6F3F08B0A90B gpg: Gute Signatur von "PuTTY Releases (DSA)" [unbekannt] gpg: WARNUNG: Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert! gpg: Es gibt keinen Hinweis darauf, dass die Signatur dem Eigentümer gehört. Primärschlüssel-Fingerabdruck: 00B1 1009 38E6 9800 6518 F0AB FECD 6F3F 08B0 A90B 

(Ich hatte zuvor den öffentlichen Schlüssel des Unterzeichners importiert. Sie müssen dies auch tun und einen Weg finden, um sicherzustellen, dass Sie den richtigen Schlüssel und nicht einen falschen Schlüssel haben ...)

Während die PGP Corporation vor langer Zeit von Symantec gekauft wurde, können Sie unter den verschiedenen PGP-basierten Produkten noch Testversionen von Symantec Desktop Email Encryption und Symantec Encryption Desktop Corporate finden, die eine Fortsetzung des ursprünglichen PGP für Windows und des kommerziellen PGP Desktop 8.x sind –9.x.

Testversionen von PGP Desktop 8.x finden Sie an verschiedenen Stellen. Es ist wahrscheinlich, dass 7.x für die Überprüfung der Signaturen gut geeignet ist, auch wenn Sicherheitsupdates und Updates fehlen.

Können Sie bitte erläutern, wie Sie den öffentlichen Schlüssel des Unterzeichners zuvor importiert haben? Ich habe versucht, den Hauptschlüssel und den Freigabeschlüssel (http://www.chiark.greenend.org.uk/~sgtatham/putty/keys.html) mit diesem Befehl zu verwenden: gpg --import public.key, der Versuch wurde jedoch abgelehnt weil es keine gültige Benutzer-ID gab. dx486 vor 9 Jahren 1
@ dx486: Die RSA-Schlüssel haben ein sehr altes (und unsicheres) Format, und moderne GnuPG-Versionen akzeptieren sie nicht mehr. Möglicherweise müssen Sie "--allow-non-selfsigned-uid" oder sogar "gnupg1" installieren. grawity vor 9 Jahren 1