我使用 openssl 来制作一个 pub/prv 密钥并创建一个文件的签名并对其进行验证。我玩弄了 Cryptophane(windows gnupg 前端),听说过密钥服务器+玩过签名文本。
但是,我从未签署过文件存档。如果我想发布档案(7z、rar 或 zip,没关系)并且我希望我的用户或软件能够检查该档案是否已签名,我该怎么做?公钥显然需要公开可用。但是将签名添加到档案中让我感到困扰。是否有任何软件+存档允许我对压缩存档文件进行签名和验证?
use*_*686 10
一种常见的方法是在文件中创建一个分离的签名.sig(通常使用 PGP 签名gpg -b- X.509 非常不常见),并将两个文件提供在同一位置。例如:
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2.sig
这可以用于任何类型的文件,但用户必须使用gpg --verify.
不幸的是,在目前使用的那些格式中,没有任何存档格式(据我所知)支持使用 PGP 或 X.509 的内置签名。(这不包括 CAB,它在 Windows 内部使用,但在其他地方几乎没有使用,并且签名相当复杂)。WinRAR 4 能够使用专有格式添加“真实性验证”记录,但它使用您的 WinRAR 许可证作为签名密钥,该密钥已被多次破解。(更新:由于不安全,此功能已从WinRAR 5中删除。)
在 Windows(以及很快的 Mac OS X)上,可以创建一个“自解压档案”——一个数字签名的可执行文件,它可以从自身内部提取一个档案——这就是 Windows 上的软件安装程序的工作方式。但是,SFX 仅限于单一操作系统,因此它们仅适用于分发程序,而不适用于分发文件或图片。(Java 程序可以签名并且是跨平台的,但很少有系统仍然具有 Java 运行时。)
| 归档时间: |
|
| 查看次数: |
15998 次 |
| 最近记录: |