เป็นไปได้ไหมที่จะลงนามเอกสารสำคัญ?

ฉันเล่นกับ openssl เพื่อสร้างคีย์ pub / prv และสร้างลายเซ็นของไฟล์และตรวจสอบความถูกต้อง ฉันเล่นกับ Cryptophane (windows gnupg frontend) และได้ยินเกี่ยวกับ keyservers + เล่นกับการเซ็นข้อความ

อย่างไรก็ตามฉันไม่เคยเซ็นชื่อไฟล์เก็บถาวร หากฉันต้องการเผยแพร่ไฟล์เก็บถาวร (7z, rar หรือ zip มันไม่สำคัญ) และฉันต้องการให้ผู้ใช้หรือซอฟต์แวร์ของฉันสามารถตรวจสอบว่าไฟล์เก็บถาวรนั้นได้รับการลงนามอย่างไรฉันจะทำอย่างไร รหัสสาธารณะจะต้องเปิดเผยต่อสาธารณะอย่างชัดเจน แต่การเพิ่มลายเซ็นให้กับไฟล์เก็บถาวรนั้นเป็นสิ่งที่รบกวนจิตใจฉัน ซอฟต์แวร์ + ไฟล์เก็บถาวรอนุญาตให้ฉันลงชื่อและตรวจสอบไฟล์เก็บถาวรที่บีบอัดหรือไม่

วิธีการทั่วไปคือการสร้างลายเซ็นที่แยกออกมาใน.sigไฟล์ (โดยทั่วไปคือลายเซ็น PGP โดยใช้gpg -b- X.509 เป็นเรื่องแปลกมาก) และให้ไฟล์ทั้งสองในตำแหน่งเดียวกัน ตัวอย่างเช่น:

ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2.sig

นี้สามารถใช้กับชนิดของไฟล์ใด ๆ gpg --verifyแต่ผู้ใช้จะต้องมีการตรวจสอบลายเซ็นด้วยตนเองโดยใช้

น่าเสียดายที่ไม่มีการใช้รูปแบบไฟล์เก็บถาวร^{(ที่ฉันรู้) ใน}ปัจจุบันมีการสนับสนุนลายเซ็นในตัวโดยใช้ PGP หรือ X.509 (สิ่งนี้ไม่รวม CAB ซึ่ง Windows ใช้ภายใน แต่แทบจะไม่มีที่อื่นเลยและค่อนข้างซับซ้อนในการลงชื่อ) WinRAR 4 สามารถเพิ่มบันทึก "การตรวจสอบความถูกต้อง" โดยใช้รูปแบบที่เป็นกรรมสิทธิ์ แต่จะใช้สิทธิ์การใช้งาน WinRAR ของคุณเป็นคีย์การลงนามซึ่งมีการแตกซ้ำหลายครั้ง (อัปเดต: คุณลักษณะนี้ถูกลบออกจาก WinRAR 5 เนื่องจากความไม่มั่นคง)

บน Windows (และในไม่ช้า Mac OS X) เป็นไปได้ที่จะสร้าง "ไฟล์เก็บถาวรแบบขยายตัวเอง" ซึ่งเป็นไฟล์ปฏิบัติการที่ลงนามแบบดิจิทัลซึ่งแยกไฟล์เก็บถาวรออกจากภายในตัวเอง อย่างไรก็ตาม SFX นั้น จำกัด อยู่ที่ระบบปฏิบัติการเดียวดังนั้นจึงเหมาะสำหรับการแจกจ่ายโปรแกรมเท่านั้นไม่ใช่เอกสารหรือรูปภาพ (โปรแกรม Java สามารถลงนามและเป็นข้ามแพลตฟอร์มได้ แต่บางระบบยังมีรันไทม์ Java)

Jar-archives สร้างด้วย Javas jar-tool เป็น zip-Archives ที่มีประสิทธิภาพและมี jarsigner ซึ่งเป็นเครื่องมือในการลงชื่อ

นี่คือลิงค์ที่มีประโยชน์:

• Oracles หน้าอย่างเป็นทางการสำหรับ jarsigner
• "วิธียืนยันที่เก็บถาวรที่ลงชื่อ?" คำถามเกี่ยวกับ SO
• วิกิบนการเซ็นชื่อไฟล์ jar

มันดูซับซ้อนไปหน่อยก่อน ("อะไรฉันต้อง keeytool ทำอะไรอีก?") แต่มันง่ายที่จะทำตามขั้นตอนในการแก้ปัญหาด้วยวิธีง่าย ๆ มันได้ผล. จากนั้นคุณสามารถจุ่มลึกลงไปในเรื่อง

แน่นอนว่าทุกครั้งที่คุณติดตั้งซอฟต์แวร์ที่ลงนามคุณจะตรวจสอบที่เก็บถาวรที่ลงชื่อแล้ว ในการสร้างคุณควรใช้เครื่องมือบรรจุภัณฑ์แบบเดียวกับที่ใช้ มีการแลกเปลี่ยนบางอย่างใช้งานง่ายกับความเข้ากันได้ข้ามแพลตฟอร์ม ฉันไม่สามารถนึกถึงวิธีการสร้างแพลตฟอร์มข้ามที่ลงนามในคลังข้อมูลแบบขยายตัวเองได้

สำหรับ Windows, สร้างตัวเองเก็บสกัดด้วยเครื่องมือ IExpress แล้วเข้าสู่ระบบโดยใช้ signtool.exe ตามที่อธิบายไว้ที่นี่ เมื่อผู้ใช้คลิกสองครั้งที่ไฟล์พวกเขาจะมีหน้าต่างที่คุ้นเคยยืนยันการสนทนาระบุว่าคุณเป็นผู้เผยแพร่ของที่เก็บถาวร

คุณสามารถลงชื่อไฟล์โดยใช้ jarsigner ด้วยสองคำสั่งนี้:

keytool -genkeypair -alias <key-alias> -keyalg RSA -keystore <keystore> -validity 180

jarsigner -verbose -sigalg SHA256withRSA -digestalg SHA-256 -keystore <keystore> <file-to-sign> <key-alias>

คุณต้องติดตั้ง java jdk ในพีซีของคุณ

- คำสั่งแรกสร้างที่เก็บคีย์ในไดเรกทอรีปัจจุบัน (สมมติว่ามันไม่มีอยู่) มันสร้างคู่กุญแจสาธารณะ / ส่วนตัวโดยใช้อัลกอริทึม SHA-256

- คนที่สองลงนามไฟล์โดยใช้อัลกอริทึมเดียวกันที่เก็บคีย์และนามแฝงที่สร้างโดยคนแรก

ในการตรวจสอบไฟล์ที่ลงชื่อโดยใช้ที่เก็บคีย์คุณสามารถเรียกใช้คำสั่งนี้:

jarsigner -keystore <keystore> -verify -verbose -certs <file-signed>