下载了一个文件之后,校验其完整性和真实性是必须的一环。对此,网上已经有不少类似的教程,不过都是基于命令行的,而且不少关键步骤含糊不清。
于是就有了这篇教程。如果此前已经安装完GPG4WIN并建立了自己的证书,请直接跳到第四步。
一、准备工作
1. 什么是 PGP/GPG/OpenPGP
PGP 全称是 Pretty Good Privacy,是由 Phil Zimmermann 在1991年开发的一款商业软件。
因为PGP所使用的技术太好用了,OpenPGP是基于PGP所使用的技术诞生的开源规范。
而GPG,其全称是GnuPGP,是遵循OpenPGP规范的一套软件。
Gpg4win 是GPG的Windows版本,其图形界面客户端叫Kleopatra。
2. 安装
直接去官网下载安装,官网地址是 https://www.gpg4win.org/download.html
安装很简单,没什么好说的,一直下一步即可。
3. 建立自己的证书
GPG的用途极其广泛,用于校验文件只是其中一个。但是,所有用途都是基于钥匙对的,所以安装完后第一步就是建立自己的钥匙对(Key Pair),一个钥匙对包含公钥和密钥。
首先,直接点击主界面的 New Key Pair 开启建立钥匙对的向导。如下图所示,
或
选择OpenPGP
输入自己的名字和邮件地址(如果只是拿来校验下载的文件,这些信息则不必太在意,随便填写即可)
点击高级设置Advanced Settings,可以设置一些详细信息
一般保持默认就好。
【选项解析(可跳过不读)】RSA+RSA表示生成RSA密钥对的同时也生成了一对subkey,4096 bits 表示加密强度,默认是2048 bits,我把它调到最高了,最底下的日期表示生成钥匙对的有效期,我把它设置成一个月。如果只是拿来校验文件,可以把 Valid Until前面的勾去掉,表示永不过期,这样一个月后就不用重新再生成一遍证书了。
接着点击下一步Next,如下图点击创建Create,然后输入证书密码(牢记),就可以开始生成了。
生成时,软件会收集一段时间的随机数据,所以可以动动鼠标或键盘之类的加快速度。一段时间后,生成完毕如下图。
我们可以点击备份钥匙对(如上图),然后输入密码,把钥匙对保存在安全的地方,最后点击Finish完工。
二、如何校验文件
4. 下载文件所有者的公钥(进行过上一章的准备工作后,下次校验文件时可以从这里开始)
我们就以GPG4WIN客户端为例。
首先打开官网下载连接,https://www.gpg4win.org/download.html,网页如下图所示,可按如下步骤找到了GPG4WIN的公钥:
点击上图中的verify打开,出现下图所示下载公钥的网页
右键保存上述公钥。
5. 在Kleopatra中导入并信任该公钥
点击Import导入刚刚下载的公钥,如下图所示
点击下图的Yes开始验证证书指纹
与刚刚在第4步下载公钥时给出的指纹(Fingerprint: 13E3 CE81 AFEA 6F68 3E46 6E0D 42D8 7608 2688 DA1A)对比,
发现是一致的,就可以点已验证然后下一步了,然后出现如下图所示界面,
这里,选择刚刚我们第3步建立的证书,然后Certify,输入第3步设置的密码
导入完成。
导入之后,就可以在证书列表里面找到它了。因为我们刚刚已经验证了证书指纹与官网一致,所以可以信任它,
在这里调节信任级别为4,即full trust
6. 校验文件
经过上述繁复的步骤,我们终于可以开始校验文件了。继续以GPG客户端为例。
打开官网下载连接,https://www.gpg4win.org/download.html,找到了GPG4WIN客户端的签名文件,右键保存。
注意,把下载的签名文件和客户端放在同一个目录。
然后,点击验证文件,如下图
然后选择刚刚下载的签名文件,一段时间后,下面的绿框显示校验成功,签名有效。
测试:下面我故意把下载的文件篡改一个字节,再进行校验,看看会怎么样。
如下图,出现了校验失败,签名无效的警告。
客官留步,在这儿说点什么吧~