PGP署名の検証方法

ページ名:PGP署名の検証方法

このWikiHowでは、ダウンロードしたファイルのPGP署名を確認する方法を説明します。ダウンロードしたファイルが正式なものであることを確認するために、署名されたファイルのPGP署名を常に検証する必要があります。署名を検証するには、発行者の公開鍵、ソフトウェアの署名ファイル、GnuPGが必要です。GnuPGはすべてのLinuxディストリビューションにプリインストールされているが、WindowsやmacOSを使っている場合はインストールする必要がある。

方法1

LinuxとmacOS

  1. Macを使っている場合はGPGをインストールする。macOS以外のLinuxインストールを使っている場合は、このステップを飛ばしても大丈夫です。macOSユーザーはまずHomebrewをインストールし、それを使ってGnuPGソフトウェアパッケージをインストールしてください:
    • アプリケーション>ユーティリティにあるTerminalを開く。
    • ターミナルを開き、アプリケーション>ユーティリティにある /bin/bash -c "$(curl -fsSL )" と入力し、リターンキーを押す。
    • 画面の指示に従ってHomebrewをインストールする。
    • Homebrewがインストールされたら、「brew install gnupg」と入力してリターンキーを押します。
  2. PGP署名ファイルをダウンロードする。これは.sigで終わるファイルです。署名ファイルは必ず、チェックしたいファイルと同じディレクトリに保存してください。
    • これを行う簡単な方法は、コマンド・プロンプトから適切なディレクトリにcdし、wget https://path/to/signaturefile.sig を使ってファイルをダウンロードすることです。
  3. 署名者の公開鍵をダウンロードする。通常、署名者のウェブサイトからダウンロードするか、電子メールの添付ファイルをコンピュータに保存することでダウンロードできます。公開鍵ファイルは通常.ascで終わる。
    • 署名ファイルのダウンロードと同様に、wgetを使って公開鍵をダウンロードすることができます。
    • 鍵IDは持っているがファイルをダウンロードするパスがない場合は、以下のコマンドを使って鍵を入手する: gpg --recv-keys KEYID。この方法で鍵を受け取った場合は、ステップ4を飛ばして直接ステップ5に進む。
  4. 公開鍵を公開鍵リングにインポートする。ターミナル・ウィンドウで以下のコマンドを実行する:
    • gpg --import PUBLICKEY。
    • PUBLICKEYは実際のファイル名に置き換えてください。
  5. 署名を検証する。すべてのファイルが正しい場所にあるので、次のコマンドで署名を検証できる:
    • gpg --verify SIGNATURE.SIG FILE.
    • SIGNATURE.SIGを署名ファイル名に、FILEを検証したいファイル名に置き換えてください。
    • 出力に「Good Signature」と表示されれば、鍵の検証は成功である。署名が悪ければ、ファイルが壊れているか、署名後に編集されていることがわかる。
方法2

ウィンドウズ

  1. Gpg4winをインストールする。アプリケーションは.NET Frameworkから入手できる。インストール中に、インストールされるアプリのリストが表示されます。
    • デフォルトのインストール場所はC:¥Program Files (x86)¥GnuGnuPg¥Gpg.exeです。署名を検証するために必要なコマンドを実行する際には、gpg.exeファイルへのフルパスを入力する必要があります。インストール場所が異なる場合は、フルパスを覚えておいてください。
  2. PGP署名をダウンロードします。これは.sigで終わるファイルです。このファイルは、検証したいファイルと同じディレクトリに保存する必要があります。
  3. 署名者の公開鍵をダウンロードします。通常、署名者のウェブサイトからダウンロードするか、電子メールの添付ファイルをコンピュータに保存します。公開鍵ファイルの末尾は通常.ascです。これも同じフォルダに保存する。
  4. Windowsのファイル・エクスプローラーを開きます。タスクバーのフォルダ・アイコンです。Windowsキー+Eキーを押しても開くことができます。
  5. チェックしたい署名とファイルがあるフォルダを開きます。ファイル・エクスプローラーの左パネルにナビゲーション・ペインが表示されていない場合は、上部の「表示」メニューをクリックして「ナビゲーション・ペイン」を選択し、もう一度「ナビゲーション・ペイン」を選択すると、ナビゲーション・ペインが表示されます。これで探しているものが見つけやすくなります。
  6. フォルダ内を右クリックしながら ⇧ Shift を押してください。メニューが展開します。
  7. ここで「コマンドプロンプトを開く」をクリックします。このオプションが表示されない場合は、ここでOpen PowerShell windowを選択してください。
  8. 公開鍵ファイルをキーチェーンにインポートします。方法は以下の通りです:
    • C:¥Program Files (x86)¥GnuGnuPgpg.exe --import PUBLICKEYと入力し、Enterキーを押します。PUBLICKEYを実際のファイル名に置き換えてください。
    • 公開鍵を含むファイルはないが鍵IDはある場合は、代わりにこのコマンドを使用する: C:◆Program Files (x86)◆GnuPg◆Gpg.exe--recv-keys◆KEYID。
  9. 署名をチェックする。ファイルの準備ができたので、署名を確認する方法を説明します:
    • C:◆Program Files (x86)◆GnuPgPg.exe --verify SIGNATURE.SIG FILE.
    • SIGNATURE.SIGを署名ファイル名に、FILEを検証したいファイル名に置き換える。
    • 出力に「Good Signature」と表示されれば、鍵の検証は成功だ。署名が悪ければ、ファイルが壊れているか、署名後に編集されていることがわかる。
この記事は、CC BY-NC-SAの下で公開された " How to Verify a PGP Signature " を修正して作成されました。特に断りのない限り、CC BY-NC-SAの下で利用可能です。

シェアボタン: このページをSNSに投稿するのに便利です。

コメント

返信元返信をやめる

※ 悪質なユーザーの書き込みは制限します。
最新を表示する
NGIDの確認

NG表示方式

NGID一覧