Este wikiHow ensina como verificar a assinatura PGP de um arquivo baixado. Você deve sempre verificar a assinatura PGP de um arquivo assinado para ter certeza de que a versão que você baixou é oficial. Para verificar a assinatura, você precisará da chave pública do editor, do arquivo de assinatura do software e do GnuPG. O GnuPG vem pré-instalado em todas as distribuições Linux, mas você precisará instalá-lo se estiver usando Windows ou macOS.
Passos
Método 1 de 2: Linux e macOS
Etapa 1. Instale o GPG se estiver usando um Mac
Se estiver usando uma instalação do Linux fora do macOS, você pode pular esta etapa. Os usuários do macOS devem primeiro instalar o Homebrew e, em seguida, usá-lo para instalar o pacote de software GnuPG:
- Abrir terminal, que você encontrará em Formulários > Serviços de utilidade pública.
- Digite / bin / bash -c "$ (curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install.sh)" e pressione Retornar.
- Siga as instruções na tela para instalar o Homebrew.
- Assim que o Homebrew estiver instalado, digite brew install gnupg e pressione Retornar.
Etapa 2. Baixe o arquivo de assinatura PGP
Este é o arquivo que termina com.sig. Certifique-se de salvar o arquivo de assinatura no mesmo diretório do arquivo que deseja verificar.
Uma maneira fácil de fazer isso é a partir do prompt de comando é fazer o cd no diretório apropriado e fazer download do arquivo usando wget
Etapa 3. Baixe a chave pública do signatário
Normalmente, você pode fazer o download no site do signatário ou salvando um anexo de e-mail em seu computador. O arquivo de chave pública geralmente termina com.asc.
- Assim como no download do arquivo de assinatura, você pode usar o wget para baixar a chave pública.
- Se você tiver o ID da chave, mas não um caminho para baixar o arquivo, use este comando para obter a chave: gpg --recv-keys KEYID. Se você receber a chave desta forma, pule a etapa 4 e vá diretamente para a etapa 5.
Etapa 4. Importe a chave pública para o seu chaveiro público
Você pode fazer isso com o seguinte comando em uma janela de terminal:
- gpg --import PUBLICKEY.
- Substitua PUBLICKEY pelo nome do arquivo real.
Etapa 5. Verifique a assinatura
Agora que todos os arquivos estão em seus locais corretos, você pode verificar a assinatura com o seguinte comando:
- gpg --verify SIGNATURE. SIG FILE.
- Substitua SIGNATURE. SIG pelo nome do arquivo de assinatura e FILE pelo nome do arquivo que deseja verificar.
- Se a saída for "Boa assinatura", você verificou a chave com sucesso. Se a assinatura estiver incorreta, você saberá que o arquivo está corrompido ou foi editado desde a assinatura.
Método 2 de 2: Windows
Etapa 1. Instale o Gpg4win
Você pode obter o aplicativo em https://www.gpg4win.org/download.html. Durante a instalação, você verá uma lista de aplicativos que serão instalados - basta manter as opções padrão selecionadas.
O local de instalação padrão é C: / Arquivos de programas (x86) Gnu / GnuPg / gpg.exe. Ao executar o comando necessário para verificar a assinatura, você precisará inserir o caminho completo para o gpg.exe Arquivo. Se você escolher um local de instalação diferente, lembre-se do caminho completo.
Etapa 2. Baixe a assinatura PGP
Este é o arquivo que termina com.sig. Você precisará salvar o arquivo no mesmo diretório do arquivo que deseja verificar.
Etapa 3. Baixe a chave pública do signatário
Normalmente, você pode fazer o download no site do signatário ou salvando um anexo de e-mail em seu computador. O arquivo de chave pública geralmente termina com.asc. Isso também deve ser salvo na mesma pasta.
Etapa 4. Abra o Windows File Explorer
É o ícone da pasta na barra de tarefas. Você também pode abri-lo pressionando o Chave do Windows + E.
Etapa 5. Abra a pasta que contém a assinatura e o arquivo que deseja verificar
Se você não vir um painel de navegação no painel esquerdo do Explorador de arquivos, clique no Visualizar menu no topo e selecione Painel de navegação e então Painel de navegação novamente para trazê-lo à tona. Isso torna mais fácil encontrar o que você procura.
Etapa 6. Pressione ⇧ Shift enquanto clica com o botão direito dentro da pasta
Um menu se expandirá.
Etapa 7. Clique em Abrir Prompt de Comando aqui
Se você não vir essa opção, selecione Abra a janela do PowerShell aqui.
Etapa 8. Importe o arquivo de chave pública para o seu chaveiro
Veja como:
- Digite C: / Arquivos de programas (x86) Gnu / GnuPg / gpg.exe --import PUBLICKEY e pressione Digitar. Substitua PUBLICKEY pelo nome do arquivo real.
- Se você não tiver um arquivo contendo a chave pública, mas tiver um ID de chave, use este comando: C: / Arquivos de programas (x86) Gnu / GnuPg / gpg.exe --recv-keys KEYID.
Etapa 9. Verifique a assinatura
Agora que os arquivos estão prontos, veja como verificar a assinatura:
- C: / Arquivos de programas (x86) Gnu / GnuPg / gpg.exe --verify SIGNATURE. SIG FILE.
- Substitua SIGNATURE. SIG pelo nome do arquivo de assinatura e FILE pelo nome do arquivo que deseja verificar.
- Se a saída for "Boa assinatura", você verificou a chave com sucesso. Se a assinatura estiver incorreta, você saberá que o arquivo está corrompido ou foi editado desde a assinatura.