Metode yang umum adalah membuat tanda tangan terpisah dalam .sig
file (biasanya tanda tangan PGP dengan menggunakan gpg -b
- X.509 sangat jarang), dan menyediakan kedua file di lokasi yang sama. Sebagai contoh:
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2.sig
Ini dapat digunakan dengan semua jenis file, tetapi pengguna harus memverifikasi tanda tangan secara manual gpg --verify
.
Sayangnya, di luar yang sedang digunakan, tidak ada format arsip (yang saya ketahui) memiliki dukungan untuk tanda tangan bawaan menggunakan PGP atau X.509. (Ini tidak termasuk CAB, yang digunakan oleh Windows secara internal tetapi praktis tidak ada tempat lain, dan agak rumit untuk ditandatangani). WinRAR 4 mampu menambahkan catatan "verifikasi keaslian" menggunakan format berpemilik, tetapi menggunakan lisensi WinRAR Anda sebagai kunci penandatanganan, yang telah berulang kali di-crack. (Pembaruan: Fitur ini telah dihapus dari WinRAR 5 karena rasa tidak aman.)
Di Windows (dan segera Mac OS X), dimungkinkan untuk membuat "arsip yang mengekstraksi sendiri" - file yang dapat dieksekusi yang ditandatangani secara digital yang mengekstrak arsip dari dalam dirinya sendiri - ini adalah contoh cara penginstal perangkat lunak pada Windows bekerja, misalnya. Namun, SFX terbatas pada sistem operasi tunggal, sehingga hanya cocok untuk mendistribusikan program , bukan dokumen atau gambar. (Program Java dapat ditandatangani dan bersifat lintas platform, tetapi beberapa sistem masih memiliki runtime Java.)