鍵が別の鍵によって署名されたことを確認します

鍵の署名の確認

短い答えは、コマンドgpg --list-sig <key id>を使用することです。

たとえば、上記のサイトにアクセスして、Qubesリリース2署名キーをダウンロードしました。次に、そのキーをローカルのgpgキーリングにインポートしました。

$ gpg --import qubes-release-2-signing-key.asc

次の結果になります

pub   rsa4096/0A40E458 2012-11-15 [SC]
uid   [ unknown] Qubes OS Release 2 Signing Key

鍵が署名されているかどうかを確認するには、コマンドgpg --list-sig <key id>を使用できます。

この場合、上の出力からキーIDが0A40E458であることがわかります。

$ gpg --list-sig 0A40E458
pub   rsa4096/0A40E458 2012-11-15 [SC]
uid         [ unknown] Qubes OS Release 2 Signing Key
sig 3        0A40E458 2012-11-15  Qubes OS Release 2 Signing Key
sig          36879494 2012-11-15  [User ID not found]

最後のエントリはQubesマスターキーですが、キーリングにないため不明です。次にマスターキーをダウンロードして、キーリングに追加すると、次のようになります。

$ gpg2 --import ./qubes-master-signing-key.asc 
gpg: key 36879494: public key "Qubes Master Signing Key" imported
gpg: Total number processed: 1
gpg:               imported: 1

もう一度確認すると、リリースキーが正しく署名されていることがわかります。

$ gpg2 --list-sig 0A40E458
pub   rsa4096/0A40E458 2012-11-15 [SC]
uid         [ unknown] Qubes OS Release 2 Signing Key
sig 3        0A40E458 2012-11-15  Qubes OS Release 2 Signing Key
sig          36879494 2012-11-15  Qubes Master Signing Key

署名の確認

Gpgキーを使用してファイルに署名すると、個別の署名ファイルが作成されます。 qubesの例では、.DIGESTSファイルをリリースしています。そのようなダイジェストを確認する方法の詳細については、提供したリンクの見出し「ダイジェストの確認」を参照してください。

基本的に、彼らが行ったことは、彼らから来たとされるファイルを取得し、それに対してさまざまなハッシュアルゴリズムを実行することです。ハッシュ関数は入力ファイルまたはメッセージを受け取り、一意のかなり短いハッシュ文字列を出力します。これは、同じ出力を生成する他のファイルを見つけることが非常に困難またはほぼ不可能になるように暗号化されて作成されます。

次に、このハッシュ文字列にGPGキーで署名します。ハッシュとそのハッシュテキストの署名の両方が.DIGESTSファイル内に配置されます。

このプロセスで注意する重要な部分は、検証中の元のファイルを変更すると、完全に異なるハッシュ文字列が生成されることです。したがって、検証コマンドを実行すると、ローカルマシンで起こっていることは、システムが特定のファイルの独自のハッシュを作成し、署名されたテキスト内のハッシュと一致することを確認することです。両方が一致し、署名が信頼することに決めた鍵からのものであることが確認された場合、鍵の所有者がダウンロードしたファイルのバージョンに「署名」していることがわかります。