¿Cómo verifico una firma GPG adjunta para un correo electrónico de texto simple usando la línea de comando gpg?

8

Recibí un correo electrónico en texto sin cifrar de alguien con una signature.asc adjunta. En cuanto a la fuente en bruto del correo electrónico, se envió con Apple Mail + GPGMail. La lectura del mensaje en Thunderbird + Enigmail se muestra correctamente como GOOD signature en los detalles de Enigmail al abrir el mensaje. El texto no es ASCII blindado.

Sin embargo, intentar verificar el mensaje con gpg da como resultado BAD signature . Usando el archivo de firma adjunto (separado), probé los siguientes archivos de entrada sin éxito:

  • Correo electrónico sin formato completo con todos los encabezados (por supuesto, esto no debería funcionar porque los servidores de correo agregan encabezados después de que el remitente haya terminado de redactar y firmar el mensaje)
  • Archivo de correo electrónico sin formato sin encabezados de correo electrónico (el correo electrónico comienza en el encabezado From: )
  • munpacked mime parts (la parte ascii y la parte html como entradas de mensaje)
pregunta yincrash 08.04.2015 - 05:49
fuente

1 respuesta

6

Tropezando con este correo electrónico dejó todo en claro (además de mirar a RFC3156 ).

El correo electrónico es de tipo multiparte / firmado el cual

  

El cuerpo multiparte / firmado DEBE consistir en exactamente dos partes. los      la primera parte contiene los datos firmados en formato canónico MIME,      Incluye un conjunto de encabezados de contenido apropiados que describen los datos.

     

El segundo cuerpo DEBE contener la firma digital OpenPGP. Debería      estar etiquetado con un tipo de contenido de "application / pgp-signature".

La firma firma la primera parte. La primera parte fue en realidad un multiparte de las partes de texto y html. Cada cliente de correo electrónico que miré no hizo que esta jerarquía quedara clara y se aplanó en tres partes (texto, html, firma).

Verificando la firma usando solo el texto MIME sin procesar de la primera multiparte verificada con éxito.

    
respondido por el yincrash 08.04.2015 - 06:04
fuente

Lea otras preguntas en las etiquetas