Bagaimana cara memverifikasi file unduhan menggunakan file .sig dan kunci publik, di Windows 10?

Saya tertarik untuk menginstal aplikasi Electron Cash dari electroncash.org (Electron-Cash-2.9.4.exe) dan situs web menunjukkan bahwa untuk memastikan integritas unduhan, saya harus memverifikasi keaslian file.

Situs menunjuk saya ke halaman github pengembang untuk mendapatkan kunci dan hash. Saya telah menyimpulkan bahwa dari 3 kunci publik di tautan itu, yang digunakan mungkin yang disebut jonaldkey.txt (meskipun ada satu lagi jonaldkey2.txt karena beberapa alasan) dan ada file .sig yang mungkin berisi hash.

Di Windows 10, bagaimana saya bisa menggunakan kunci publik (jonaldkey.txt) dan hash (Electron-Cash-2.9.4.exe.sig) untuk memverifikasi file yang saya unduh (Electron-Cash-2.9.4.exe)?

Ada Gpg4win aplikasi, yang berkaitan dengan menandatangani dan memverifikasi file. Memiliki Ringkasan , pada halaman 110 yang kita baca:

Memeriksa tanda tangan

Sekarang periksa integritas file yang baru saja ditandatangani, mis. Periksa apakah sudah benar!   Untuk memeriksa integritas dan keaslian, file tanda tangan - maka file dengan akhiran .sig, .asc,   .p7s atau .pem - dan file asli yang ditandatangani (file asli) harus berada di folder file yang sama. Pilih menu   file tanda tangan dan pilih entri Decrypt dan periksa dari menu konteks Windows Explorer:

Jelas Anda harus menginstalnya dengan ekstensi shell. Opsi untuk memverifikasi file .SIG berada di bawah Opsi GpgEX Lainnya . Untuk memverifikasi program Anda, saya menggunakan langkah-langkah ini:

• diunduh jonaldkey.txt , bukan yang lain, dan file Electron-Cash-2.9.4.exe.sig
• mengganti nama jonaldkey.txt menjadi jonaldkey.PEM
• Klik kanan .SIG dan pilih Memeriksa
• program mengatakan tidak dapat memverifikasi karena kunci tidak dikenal, jadi saya mengklik tombol Impor,
• Saya diminta membuat kunci sendiri untuk memverifikasi kunci publik orang lain, jadi saya melakukan itu, sayangnya saya diminta untuk menerima sidik jari dari kunci publik itu, yang tidak tersedia di mana pun
• setelah itu saya memilih kunci yang baru diimpor dalam proses verifikasi dan itu berlalu.

Verifikasi checksum (bukan tanda tangan)

Anda juga dapat mengunduh SHA1.Electron-Cash-2.9.4.exe.txt file, yang merupakan file teks, ganti ekstensi itu menjadi .sha1. Saya memiliki dua alat yang saya miliki, yang memverifikasi checksum. Ini adalah: 7zip dan Total Commander oleh Ghisler. Yang pertama menambahkan menu konteks yang memungkinkan Anda untuk menunjukkan berbagai checksum dari file yang diklik, dalam hal ini kita klik kanan file .exe (bukan .sig) dan verifikasi jumlah yang ditampilkan dengan file teks SHA1 yang diunduh. Yang terakhir memungkinkan Anda untuk menekan Enter pada file * .sha, * .md5, * .sfv dll dan menampilkan hasilnya sebagai OK atau GAGAL.