¿Cómo GPG2 --verify sabe quién firmó un archivo y cómo? [cerrado]

Question

¿Cómo GPG2 --verify sabe quién firmó un archivo y cómo? [cerrado]

#1 de Ángel (2 votos)

-2

Cuando firmo (borro) un archivo, la salida es algo como esto.

$ gpg2 --clearsign test
$ cat test.asc 
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

This is a test!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iQIcBAEBCAAGBQJaCdV1AAoJEMEJof2E4sLlE5YP/2tee+p+3W6rdp49kHXGE6gY
... AND SO ON ...
Olgtxrs9j1BZqvjkjp41
=7Kzg
-----END PGP SIGNATURE-----

Ahora cuando verifico este archivo,

$ gpg2 --verify test.asc

GPG parece saber qué clave se usó y quién firmó el archivo.

¿De dónde obtiene esta información?

Lo mismo ocurre con $ gpg2 --detach-sign test :

$ cat test.sig
��g����H��cc�~�"V�9n�'6�����|%�xQ��e���Y��/ͩH��j_tGMF�[!��ɍ��
...
���E��4�+�A3g�g��1�CЙ1��k1�Q�'����a��N���}zA)�HŌ�#PF^x�|

information-gathering digital-signature gnupg

pregunta user1511417 13.11.2017 - 18:43

fuente

1 respuesta

Lea otras preguntas en las etiquetas information-gathering digital-signature gnupg

PHP obtiene vulnerabilidad de código de parámetro [cerrado] ¿Cómo obtener una vista completa de los registros del enrutador inalámbrico?

score 2 · Accepted Answer

La firma contiene el ID de la clave que firmó el mensaje. Luego se busca en su llavero y, si se encuentra la clave, se muestran los detalles.

De lo contrario (por ejemplo, verificando en una máquina diferente, donde no se importa la clave) solo se le proporcionará la identificación de la clave que la firmó.

También tenga en cuenta que gpg2 solo sabe qué clave firmó el archivo. Who firmó los archivos es una pregunta ligeramente diferente. Debería haber verificado que la clave pertenece a la persona a la que dice pertenecer, ya sea directamente oa través de la web de confianza. Si no verificaste de ninguna manera quién es el propietario de la clave, podría haber sido firmado por cualquier persona.