Bagaimana cara memverifikasi file unduhan menggunakan file .sig dan kunci publik, di Windows 10?


3

Saya tertarik untuk menginstal aplikasi Electron Cash dari electroncash.org (Electron-Cash-2.9.4.exe) dan situs web menunjukkan bahwa untuk memastikan integritas unduhan, saya harus memverifikasi keaslian file.

Situs menunjuk saya ke halaman github pengembang untuk mendapatkan kunci dan hash. Saya telah menyimpulkan bahwa dari 3 kunci publik di tautan itu, yang digunakan mungkin yang disebut jonaldkey.txt (meskipun ada satu lagi jonaldkey2.txt karena beberapa alasan) dan ada file .sig yang mungkin berisi hash.

Di Windows 10, bagaimana saya bisa menggunakan kunci publik (jonaldkey.txt) dan hash (Electron-Cash-2.9.4.exe.sig) untuk memverifikasi file yang saya unduh (Electron-Cash-2.9.4.exe)?

Jawaban:


5

Ada Gpg4win aplikasi, yang berkaitan dengan menandatangani dan memverifikasi file. Memiliki Ringkasan , pada halaman 110 yang kita baca:

Memeriksa tanda tangan

Sekarang periksa integritas file yang baru saja ditandatangani, mis. Periksa apakah sudah benar!   Untuk memeriksa integritas dan keaslian, file tanda tangan - maka file dengan akhiran .sig, .asc,   .p7s atau .pem - dan file asli yang ditandatangani (file asli) harus berada di folder file yang sama. Pilih menu   file tanda tangan dan pilih entri Decrypt dan periksa dari menu konteks Windows Explorer:

Context menu

Jelas Anda harus menginstalnya dengan ekstensi shell. Opsi untuk memverifikasi file .SIG berada di bawah Opsi GpgEX Lainnya . Untuk memverifikasi program Anda, saya menggunakan langkah-langkah ini:

  • diunduh jonaldkey.txt , bukan yang lain, dan file Electron-Cash-2.9.4.exe.sig
  • mengganti nama jonaldkey.txt menjadi jonaldkey.PEM
  • Klik kanan .SIG dan pilih Memeriksa
  • program mengatakan tidak dapat memverifikasi karena kunci tidak dikenal, jadi saya mengklik tombol Impor,
  • Saya diminta membuat kunci sendiri untuk memverifikasi kunci publik orang lain, jadi saya melakukan itu, sayangnya saya diminta untuk menerima sidik jari dari kunci publik itu, yang tidak tersedia di mana pun
  • setelah itu saya memilih kunci yang baru diimpor dalam proses verifikasi dan itu berlalu.

Output of a verified file

Verifikasi checksum (bukan tanda tangan)

Anda juga dapat mengunduh SHA1.Electron-Cash-2.9.4.exe.txt file, yang merupakan file teks, ganti ekstensi itu menjadi .sha1. Saya memiliki dua alat yang saya miliki, yang memverifikasi checksum. Ini adalah: 7zip dan Total Commander oleh Ghisler. Yang pertama menambahkan menu konteks yang memungkinkan Anda untuk menunjukkan berbagai checksum dari file yang diklik, dalam hal ini kita klik kanan file .exe (bukan .sig) dan verifikasi jumlah yang ditampilkan dengan file teks SHA1 yang diunduh. Yang terakhir memungkinkan Anda untuk menekan Enter pada file * .sha, * .md5, * .sfv dll dan menampilkan hasilnya sebagai OK atau GAGAL.

Context menu of 7zip Total Commander has verified the file


Terima kasih banyak atas bantuan Anda! Ketika Anda mengatakan "sayangnya saya diminta untuk menerima sidik jari dari kunci publik itu, yang tidak tersedia di mana pun", haruskah pengembang menerbitkan sidik jari kunci publik mereka juga?
Highly Irregular

Ya, misalnya Anda dapat mengunduh qbittorrent, di halaman siapa Anda melihat sidik jari ditampilkan: Lihat disini
Kitet
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.