Firmas de OpenPGP frente a sumas de comprobación
La verificación de una firma OpenPGP no solo comprueba si un archivo no se corrompió (por ejemplo, durante la transmisión) como lo haría una suma de comprobación SHA o MD5 "normal", sino que también verifica si la firma fue emitida por quien pretende ser ( en otras palabras, si la firma en el archivo fue emitida por una clave específica, a la que también se hace referencia en la firma).
Obteniendo la clave correcta
Debe obtener esta clave (pública) antes de poder verificar la firma. Esto se puede lograr fácilmente ejecutando gpg --recv-keys DD5F693B
(pero tenga en cuenta que Colisiones de ID de clave OpenPGP y mejor En su lugar, utilice ID de clave larga ).
Confianza
Al obtener la clave, obtendrás una salida similar a esta:
gpg: assuming signed data in 'enigmail-1.8-tb+sm.xpi'
gpg: Signature made Tue Mar 17 13:31:23 2015 CET
gpg: using RSA key 0xDB1187B9DD5F693B
gpg: Good signature from "Patrick Brunschwig <[email protected]>"
gpg: aka "Patrick Brunschwig <[email protected]>"
gpg: aka "[jpeg image of size 13251]"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 4F9F 89F5 505A C1D1 A260 631C DB11 87B9 DD5F 693B
Ahora sabe que la clave realmente se usó para firmar el archivo que descargó ( "Good signature from [...]" ). Sin embargo, esta clave podría haber sido emitida por todos! Solo porque obtuvo una clave de los servidores de claves, no ha habido ninguna verificación por parte de nadie en su contenido .
Tener la clave no será suficiente para estar seguro de quién (qué persona) realmente firmó el archivo:
ADVERTENCIA: ¡Esta clave no está certificada con una firma de confianza! No hay ninguna indicación de que la firma pertenezca al propietario.
También debe poder verificar la clave no solo para verificar la integridad del archivo (ya lo logró ahora), sino también para asegurarse de quién es. Por ejemplo, reuniéndonos con el emisor y preguntándole si es realmente su clave, a través de la web de confianza (u otra forma que considere confiable).
Pero este es otro tema largo.