前へ|次へ|戻る
GnuPG The GNU Privacy Guard
Where
http://www.gnupg.org/
The GNU Privacy Guard
GnuPG is a complete and free replacement for PGP. Because it does not use the patented IDEA algorithm, it can be used without any restrictions. GnuPG is a RFC2440 (OpenPGP) compliant application.
Version 1.0.0 has been released on September 7th, 1999.
The current stable version is 1.4.2 .
ほたら 手に入れよう、その前に 文章を 読んでおこう
http://www.gnupg.org/(en)/download/integrity_check.html
Integrity Check
In order to check that the version of GnuPG which you are going to install is an original and unmodified one, you can do it in one of the following ways.
Using gpg
If you already have a trusted version of GnuPG installed, you can simply check the supplied signature. For example to check the signature of the file gnupg-1.4.2.tar.bz2 you would use this command:
gpg --verify gnupg-1.4.2.tar.bz2.sig
This checks whether the signature file matches the source file. You should see a message indicating that the signature is good and made by that signing key . Make sure that you have the right key, either by checking the fingerprint of that key with other sources or by checking that the key has been signed by a trustworthy other key.
Never use a GnuPG version you just downloaded to check the integrity of the source - use an existing GnuPG installation.
無い場合
Using sha1sum
If you are not able to use an old version of GnuPG, you have to verify the SHA1 checksum. Assuming you downloaded the file gnupg-1.4.2.tar.bz2, you would run the sha1sum command like this:
sha1sum gnupg-1.4.2.tar.bz2
and check that the output matches the SHA1 checksum reported on this site. An example of sha1sum checksum is:
6eda5b090f9f1ac0da5e8b545e2667220a0e89ca gnupg-1.4.2.tar.bz2
To be sure that this page has not been tampered, you may want to compare the list below with the one included in the announcement mail posted to several mailing list.
この2個を 頂く
http://www.ring.gr.jp/pub/net/gnupg/gnupg/
gnupg-1.4.2.tar.gz 27-Jul-2005 04:33 4.0M
gnupg-1.4.2.tar.gz.sig 27-Jul-2005 04:33 65
その前に 前準備 README の中に
If you do not have this key, you can get it from the source in
the file doc/samplekeys.asc (use "gpg --import doc/samplekeys.asc"
to add it to the keyring) or from any keyserver. You have to
make sure that this is really the key and not a faked one. You
can do this by comparing the output of:
$ gpg --fingerprint 0x57548DCD
with the fingerprint published elsewhere.
Please note, that you have to use an old version of GnuPG to
do all this stuff. *Never* use the version which you are going
to check!
あるので
# pwd
/usr/local/src/misc/gnu_pg/gnupg-1.4.1/doc
# cp samplekeys.asc /var/data/www/apache2/htdocs/1001_base/5005_pl403/1003_prg/
# chown mm.users /var/data/www/apache2/htdocs/1001_base/5005_pl403/1003_prg/samplekeys.asc
import していない場合
$ gpg --verify gnupg-1.4.2.tar.gz.sig
gpg: 2005年07月27日 04時44分06秒 JSTにDSA鍵ID 57548DCDで施された署名
gpg: 署名を検査できません: 公開鍵が見つかりません
と おしかりを 受ける事に なります
import after gpg --verify
import しておいて
$ gpg --import samplekeys.asc
gpg: 鍵57548DCD: 公開鍵“Werner Koch (gnupg sig) ”を読み込みました
gpg: 鍵5B0358A2: 公開鍵“Werner Koch ”を読み込みました
gpg: 鍵B2D7795E: 公開鍵“Philip R. Zimmermann ”を読み込みました
gpg: 鍵99242560: 公開鍵“David M. Shaw ”を読み込みました
gpg: 鍵37D92FFB: 公開鍵“g10 Code (code signing key 1) ”を読み込みました
gpg: 鍵CA57AD7C: 公開鍵“PGP Global Directory Verification Key”を読み込みました
gpg: 処理数の合計: 6
gpg: 読込み: 6 (RSA: 3)
gpg: 最小の「ある程度の信用」3、最小の「全面的信用」1、PGP信用モデル
gpg: 深さ: 0 有効性: 1 署名: 0 信用: 0-, 0q, 0n, 0m, 0f, 1u
確認しましょう
$ gpg --verify gnupg-1.4.2.tar.gz.sig
gpg: 2005年07月27日 04時44分06秒 JSTにDSA鍵ID 57548DCDで施された署名
gpg: “Werner Koch (gnupg sig) ”からの正しい署名
gpg: 注意: この鍵は満了です!
主鍵の指紋: 6BD9 050F D8FC 941B 4341 2DCC 68B7 AB89 5754 8DCD
sha1sum
SHA1 Sum Summary
For your convenience, all SHA1 sums available for software that can be downloaded from our site , have been gathered below.
6eda5b090f9f1ac0da5e8b545e2667220a0e89ca gnupg-1.4.2.tar.bz2
cc7e9a5268bf309ac652a7343b62dff8cfb68d38 gnupg-1.4.2.tar.gz
ca0180b5e5d6ee78c68c701f6ded2d9008bf7608 gnupg-1.4.1-1.4.2.diff.bz2
8394920be8d2daa764e94d4bd5869853a3f293b8 gnupg-w32cli-1.4.2.exe
bc2363b2115b18edccb4fa7b9873ad1b3c12a3ad dirmngr-0.9.3.tar.bz2
fc61709a9719a239cf8ebbf19b84f99622655dda libgcrypt-1.2.2.tar.bz2
632436ff5c66405d9704983411aa031f29006dce gpgme-1.0.3.tar.gz
ほんだら
$ sha1sum gnupg-1.4.2.tar.gz
cc7e9a5268bf309ac652a7343b62dff8cfb68d38 gnupg-1.4.2.tar.gz
比べると
cc7e9a5268bf309ac652a7343b62dff8cfb68d38 gnupg-1.4.2.tar.gz
cc7e9a5268bf309ac652a7343b62dff8cfb68d38 gnupg-1.4.2.tar.gz
良いのでしょう
実際に 行う場合 どうなるの
入手した ファイルは
$ ls -l
合計 4080
-rw------- 1 mm users 4166891 2月 18日 21:33 gnupg-1.4.2.tar.gz
-rw------- 1 mm users 65 2月 18日 21:33 gnupg-1.4.2.tar.gz.sig
公開鍵が 未だ無い場合
$ gpg --verify gnupg-1.4.2.tar.gz.sig gnupg-1.4.2.tar.gz
gpg: 2005年07月27日 04時44分06秒 JSTにDSA鍵ID 57548DCDで施された署名
gpg: 署名を検査できません: 公開鍵が見つかりません
鍵サーバーに 要求して入手
$ gpg --recv 57548DCD
gpg: 鍵57548DCDをhkpからサーバーsubkeys.pgp.netに要求
gpg: 鍵57548DCD: 公開鍵“Werner Koch (gnupg sig) ”を読み込みました
gpg: 最小の「ある程度の信用」3、最小の「全面的信用」1、PGP信用モデル
gpg: 深さ: 0 有効性: 1 署名: 1 信用: 0-, 0q, 0n, 0m, 0f, 1u
gpg: 深さ: 1 有効性: 1 署名: 0 信用: 1-, 0q, 0n, 0m, 0f, 0u
gpg: 処理数の合計: 1
gpg: 読込み: 1
鍵の一覧 を 見てみる
$ gpg --list-key 57548DCD
pub 1024D/57548DCD 1998-07-07 [満了: 2005-12-31)]
uid Werner Koch (gnupg sig)
$ gpg --finger 57548DCD
pub 1024D/57548DCD 1998-07-07 [満了: 2005-12-31)]
指紋 = 6BD9 050F D8FC 941B 4341 2DCC 68B7 AB89 5754 8DCD
uid Werner Koch (gnupg sig)
満了 にも かかわらず 署名しようとすると
$ gpg --lsign-key 57548DCD
pub 1024D/57548DCD 作成: 1998-07-07 満了: 2005-12-31 利用法: CSA
信用: 未知の 有効性: 満了
[ expired] (1). Werner Koch (gnupg sig)
pub 1024D/57548DCD 作成: 1998-07-07 満了: 2005-12-31 利用法: CSA
信用: 未知の 有効性: 満了
主鍵の指紋: 6BD9 050F D8FC 941B 4341 2DCC 68B7 AB89 5754 8DCD
Werner Koch (gnupg sig)
この鍵は満了です! 署名不能。
鍵は無変更なので更新は不要です。
取り敢えず 検証
$ gpg --verify gnupg-1.4.2.tar.gz.sig gnupg-1.4.2.tar.gz
gpg: 2005年07月27日 04時44分06秒 JSTにDSA鍵ID 57548DCDで施された署名
gpg: “Werner Koch (gnupg sig) ”からの正しい署名
gpg: 注意: この鍵は満了です!
主鍵の指紋: 6BD9 050F D8FC 941B 4341 2DCC 68B7 AB89 5754 8DCD
良いのでしょう
にゃんたろう 拝!
2006年 2月18日 (土) 22:15:59 JST 追記
2006年 2月 6日 (月) 21:57:21 JST 作成
前へ|次へ|戻る
Copyright © 2004.-2007.
nyantarou
All Rights Reserved.