1 votos

Cuando verifico un documento firmado con gpg, ¿cómo sabe qué clave pública usar?

Cuando firmo un documento, puedo seleccionar la clave secreta para usar, por ejemplo, de esta manera:

 gpg --default-key=BF8C1203 --clearsign message.txt
 

Cuando verifico un documento, no veo esta opción, solo puedo hacer:

 gpg --verify message.txt.asc
 

¿Cómo sabe GPG qué clave pública usar para la verificación? ¿Hay alguna forma de decirle que use una clave pública diferente?

3voto

user68186 Puntos 7952

gpg comprueba la firma en contra de todas las claves públicas que tienen.

Si usted tiene dos claves privadas, usted también debe tener las correspondientes claves públicas. Así, gpg va a mirar a través de todas las claves públicas que tiene, incluyendo su amigo claves, y averiguar quién firmó el archivo.

Si el archivo está firmado por mí, y no tengo mi clave pública, a continuación, gpg no puede verificar mi firma, hasta que descargar mi clave pública de la clave pública del repositorio como https://pgp.mit.edu/

Explicación más detallada de abajo es de https://security.stackexchange.com/questions/82490/when-signing-email-with-gpg-how-does-verification-by-the-receiver-work

Hay una asociación única entre la clave pública y privada. Es decir, si el remitente utiliza una determinada clave privada para firmar un mensaje y comprobar la firma usando la pública correspondiente, entonces el verificación de la firma sólo tendrá éxito si el mensaje no ha sido alterada.

El procedimiento de verificación y la naturaleza de la asociación entre público y privado varía con el criptosistema usted está considerando (RSA, DSA, etc.), pero la afirmación anterior es válido para cualquier esquema asimétrico.

Lo que realmente importa es que el remitente es el único que puede producir una firma válida porque él/ella es la única que sabe la privado, pero alguien sabe el público, por lo que cualquiera puede comprobar la de la firma.

Tras la firma, GPG añade un token para el mensaje de texto que puede ser utilizado para comprobar que el mensaje no ha sido alterado en tránsito: es el de la firma. Usted no necesita GPG para leer el mensaje porque el texto en sí no está cifrado, no es sólo un extra token, que podría ser un radix64 codificado blob en la final del mensaje o un texto adjunto con una estructura similar.

GPG no directamente firmar el mensaje, firma un hash criptográfico (SHA-1 o SHA-2 por lo general). Lo que sucede es que después de la verificación se comprueba la firma utilizando la clave pública del remitente para hacer asegúrese de que el hash recibido fue en realidad se originó por el remitente. Si el hash calculado por el remitente se considera auténtico, es en comparación con con el hash calculado por el destinatario. Si ambas fases éxito, a continuación, el mensaje está correctamente firmado.

Espero que esto ayude

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: