Dúvidas Como validar uma assinatura digital?

[The Dealer]

Por vezes recebo emails assinados digitalmente.

Ora para verificar a validade de uma AD é necessário a chave publica do assinante. Até aqui tudo bem.

Para tal costumo utilizar um addon do Firefox, o FireGPG, que funciona bastante bem. Apesar de estar minimamente familiarizado com gestors de chave "independentes" (Seahorse, Kgpg, etc), tenho uma dúvida. Imaginando que (sem FireGPG), recebe-se um email assinado digitalmente e possui.se a respectiva chave publica.

Como verificar neste caso a validade?

 

[slack_guy]

Se percebi a tua pergunta, podes usar um servidor de chaves públicas, como o do MIT:
Por exemplo, o ID da chave pública do Slackware Linux Project é 0x40102233. Para extrair a informação a partir do ID seria qualquer coisa como: http://pgp.mit.edu:11371/pks/lookup?search=0x40102233&op=index.

Outro exemplo de verificação de uma chave inserida num e-mail:

$ gpg --verify /path/to/email_message
gpg: Signature made Ter 21 Abr 2009 06:28:23 WEST using DSA key ID 40102233
gpg: Good signature from "Slackware Linux Project <[email protected]>"
gpg: AVISO: Esta chave não está certificada com uma assinatura confiável!
gpg:          Não há indicação de que a assinatura pertence ao dono.
Impressão da chave primária: EC56 49DA 401E 22AB FA67  36EF 6A44 63C0 4010 2233

 

[Underground909]

Tens sempre o gpg pela linha de comandos. Para verificar a assinatura usa-se a opção --verify

 

[The Dealer]

Se percebi a tua pergunta, podes usar um servidor de chaves públicas, como o do MIT:
Por exemplo, o ID da chave pública do Slackware Linux Project é 0x40102233. Para extrair a informação a partir da chave pública seria qualquer coisa como: http://pgp.mit.edu:11371/pks/lookup?search=0x40102233&op=index.

Outro exemplo de verificação de uma chave inserida num e-mail:

$ gpg --verify /path/to/email_message
gpg: Signature made Ter 21 Abr 2009 06:28:23 WEST using DSA key ID 40102233
gpg: Good signature from "Slackware Linux Project <[email protected]>"
gpg: AVISO: Esta chave não está certificada com uma assinatura confiável!
gpg:          Não há indicação de que a assinatura pertence ao dono.
Impressão da chave primária: EC56 49DA 401E 22AB FA67  36EF 6A44 63C0 4010 2233

humm e para Windows ?

 

[slack_guy]

humm e para Windows ?

Penso que seja a mesma coisa: http://www.gnupg.org/download/#auto-ref-2

There is also a version compiled for MS-Windows. Note that this is a command line version and comes with a graphical installer tool.

 

[The Dealer]

Penso que seja a mesma coisa: http://www.gnupg.org/download/#auto-ref-2

Não existe nenhum GUI para linux para efectuar a validação ?

 

[slack_guy]

Não existe nenhum GUI para linux para efectuar a validação ?

Frontends

(Já tinhas referido o Kgpg e o Seahorse no 1º post...)

 

[The Dealer]

Frontends

(Já tinhas referido o Kgpg e o Seahorse no 1º post...)

Desculpa, é que então fui eu que não me expliquei bem. Tu agora deste a entender que é possível efectuar a validação com essas duas ferramentas, e eu pensava o contrário. Nesse caso podias-me explicar como se faz por favor ? (para quando se recebe um email assinado).

É que eu uso Gnome, e uso o KGPG porque não encontrei no Seahore um local onde colar texto, para efectuar o decrypt, e em ambos não encontrei um mecanismo para efectuar a validação de uma assinatura.

 

[slack_guy]

Desculpa, é que então fui eu que não me expliquei bem. Tu agora deste a entender que é possível efectuar a validação com essas duas ferramentas, e eu pensava o contrário. Nesse caso podias-me explicar como se faz por favor ? (para quando se recebe um email assinado).

É que eu uso Gnome, e uso o KGPG porque não encontrei no Seahore um local onde colar texto, para efectuar o decrypt, e em ambos não encontrei um mecanismo para efectuar a validação de uma assinatura.

Esses programas são 'frontends' para o gpg, não são gestores de chaves 'independentes' como referiste no 1º post (tanto quanto sei, sem o gpg instalado essas aplicações não funcionam).

Agora, como funcionam essas aplicações?... não faço a mínima ideia. Nunca trabalhei com esses 'frontends'. Sei que tenho o Kgpg instalado mas nunca o abri... não faço ideia de como funciona.

Como cliente de email uso o Mutt. No ficheiro de configuração do Mutt tenho o seguinte:

set pgp_verify_sig=yes
set pgp_decode_command="gpg %?p?--passphrase-fd 0? --no-verbose --batch --output - %f"
set pgp_verify_command="gpg --no-verbose --batch --output - --verify %s %f"
set pgp_decrypt_command="gpg --passphrase-fd 0 --no-verbose --batch --output - %f"
set pgp_sign_command="gpg --no-verbose --batch --output - --passphrase-fd 0 --armor --detach-sign --textmode %?a?-u %a? %f"
set pgp_clearsign_command="gpg --no-verbose --batch --output - --passphrase-fd 0 --armor --textmode --clearsign %?a?-u %a? %f"
set pgp_encrypt_only_command="pgpewrap gpg --batch --quiet --no-verbose --output - --encrypt --textmode --armor --always-trust --encrypt-to <MY_KEY_ID> -- -r %r -- %f"
set pgp_encrypt_sign_command="pgpewrap gpg --passphrase-fd 0 --batch --quiet --no-verbose --textmode --output - --encrypt --sign %?a?-u %a? --armor --always-trust --encrypt-to <MY_KEY_ID> -- -r %r -- %f"
set pgp_import_command="gpg --no-verbose --import -v %f"
set pgp_export_command="gpg --no-verbose --export --armor %r"
set pgp_verify_key_command="gpg --no-verbose --batch --fingerprint --check-sigs %r"
set pgp_list_pubring_command="gpg --no-verbose --batch --with-colons --list-keys %r"
set pgp_list_secring_command="gpg --no-verbose --batch --with-colons --list-secret-keys %r"
set pgp_autosign=yes
set pgp_sign_as="<MY_KEY_ID>"
set pgp_replyencrypt=yes
set pgp_timeout=6000
set pgp_good_sign="`gettext -d gnupg -s 'Good signature from "' | tr -d '"'`"

Se usares o Thunderbird podes usar a extensão (também é um 'frontend' para o gpg) Enigmail (se é que não está já instalada).