alice2bob/verify.md

検証

PGP 鍵とチェックサム

アリスとボブの全ての内容とチェックサムは 下記の PGP 鍵で保護されています。

• PGP 鍵： 1D3E 313C 4DB2 B3E0 8271 FC48 89BB 4CBB 9DBE 7F6D
  • ウェブサイト上
  • 鍵サーバ（クリアネット）
  • 鍵サーバ（オニオン）
• SHA256 の PGP 署名
• SHA256 チェックサム

誰でも本シリーズを編集して頒布できることを意識してください。 入手したファイルを開いたり内容を信頼する前に、 入手したファイルを検証すべきです。 入手したファイルをアリスとボブが実際に作成したと確認するには、 PGP 鍵とチェックサムを検証して、 チェックサムを入手したファイルに照合してください。

検証方法

本シリーズのファイルを検証するには以下のツールが必要です。

• sha256sum のプログラムが入っている Bash ターミナル
• GnuPG （プログラム名： gpg）

PGP 鍵の指紋

PGP 鍵、チェックサム、署名とファイルを入手した後、 まず PGP 鍵の指紋（上の 40 桁の文字列）を上記の指紋に照合します。

$ gpg --show-key 

PGP 鍵のインポート

PGP 鍵の指紋が正しかったら、インポートします。

$ gpg --import 

PGP 鍵のインポートが成功したことを確認します。

$ gpg -k 1D3E313C4DB2B3E08271FC4889BB4CBB9DBE7F6D

署名検証

SHA256 チェックサムファイルを署名ファイルで検証します。

$ gpg --verify alice2bob-SHA256-2.2.sig alice2bob-SHA256-2.2

Good signature from "alice2bob"... （またはそれに類似した日本語）が表示された場合、 チェックサムが破損・改竄されていない可能性が高いということです。

SHA256 検証

最後に、入手したファイルを SHA256 チェックサムで検証します。

$ sha256sum --check --ignore-missing alice2bob-SHA256-2.2

OK の表示が出たら、ファイルが破損・改竄されていない 可能性が高いということです。

入手したファイルのディレクトリ構造が平らの場合、 SHA256 チェックサムファイル内のファィル名から ディレクトリを削除する必要があります。

$ cat alice2bob-SHA256-2.2 \
  | sed -e 's/  .*\//  /' \
  | sha256sum --check --ignore-missing

SHA256 の照合には GtkHash を使うことも可能です。