是否可以使用其他工具(例如BouncyCastle或GnuPG https://gpgtools.org/)验证由GPG https://www.gnupg.org/签名的文件?在我看来,这不应该是因为关键提供者是不同的。我对吗?在这方面我需要一些知识。请帮忙。
答案 0 :(得分:3)
GPG https://gpgtools.org/签名的文件是否可以使用其他工具验证,例如BountyCastle或GnuPG https://www.gnupg.org/?
是的,当然! GnuPG和BouncyCastle都实现了通用标准OpenPGP。 GPGTools只是将GnuPG作为二进制发行版发布并添加了一些工具。
在我看来,这不应该是因为关键提供者是不同的。我是对的吗?
在OpenPGP中没有像证书颁发机构那样的中央信任实体,换句话说,没有预先配置可信密钥。
要验证签名,您需要获取匹配的公钥。这将告诉您签名是否由匹配的私钥发出以及文件是否被篡改。它没有说明密钥和签名的 validty ;你必须在其他方面验证密钥。这可能是通过手动比较指纹,或使用OpenPGP信任网来查找信任锚的信任路径,如您自己的密钥。
在这方面我需要一些知识。
看起来你对这些技术还很陌生。深入覆盖它们远远超出了Stack Exchange的答案。我强烈建议您阅读以下主题,以了解主题: