如何在win10上进行MD5 SHA SIG验证
下载到心爱的软件,都迫不及待的想立即使用。但是笔者建议大家在有条件的情况下一定要进行安全性的验证。去年的phpstudy事件再次让我们认识到不进行安全性完整性验证会有很严重的后果。
如果你会使用linux,那么在linux进行安全性验证简直是会用linux的必要条件。这里不再赘述。这里谈下windows下尤其是win10下如何进行安全性验证。
首先是md5,sha1和sha256
就是利用了windows10下的工具,certutil。很方便。笔者建议,大家在需要验证的文件的文件夹下,按住shift单击鼠标右键,打开powershell,这样文件名按两下tab就会自动填充了。方便了很多。
然后是利用gpg对sig进行验证
这时候我们首先需要下载gpg。那么什么是gpg呢。
要了解什么是GPG,就要先了解PGP。
1991年,程序员Phil Zimmermann为了避开政府监视,开发了加密软件PGP。这个软件非常好用,迅速流传开来,成了许多程序员的必备工具。但是,它是商业软件,不能自由使用。所以,自由软件基金会决定,开发一个PGP的替代品,取名为GnuPG。这就是GPG的由来。
如果你对加密解密一头雾水,推荐你看我的文章,客观的说全网找不到更好的入门文章了。
下载gpg,需要在官网上下载,并利用上面的方法验证它的sha256
作为windows用户,不用自己编译那么麻烦,直接下windows版本的gpg4win就好了。希望大家给点donation啊。
然后安装,为了适应windows的用户不熟练使用命令行的情况,gpg的Windows版本有可视化窗口kleopatra软件。(随便说一下,你知道这个词的意思吗,就是埃及艳后的名字啊,我想之所以起这个名字是因为她很著名的见凯撒大帝的方式吧)
现在你可以创建密钥引入密钥和密友愉快的交流了。
但是如果要是验证sig文件,笔者建议大家还是使用命令行吧。因为窗口中的功能不那么完美。在命令行如何使用呢:
gpg --verify xx.sig xx
这样就行。但是初次使用几乎一定会遇到问题:no public key的错误提示。
这是因为没有引入对应网站的公钥。于是我们用gpg --recv-keys的办法。
但是同样可能会遇到问题,这是服务器的问题,我们可以采取下面的办法。
之后我们就可以愉快的验证了。如果成功,会说GOOD SIGNATURE。否则会说BAD SIGNATURE。