Script per verificare una firma con GPG

5

Puoi alimentare GPG un file che è stato firmato e sputerà un messaggio "la firma è buona" e salverà il testo in chiaro:

[gh403@shillig-arch ~]$ gpg test.gpg 
gpg: Signature made Thu Nov  1 14:19:08 2012 CDT using RSA key ID D1FEC5F4
gpg: Good signature from "gh403 <gh403@***********>"

e posso vedere il suo output e verificare che, sì, gh403 ha firmato questo e che sì, la firma è buona.

Quello che vorrei poter fare è scrivere questo comportamento. In particolare, ho bisogno di uno script che controllerà che la firma sia valida e che la chiave con cui è stata firmata abbia un determinato ID.

C'è una semplice chiamata GPG per farlo? O avrei bisogno di una sceneggiatura più elaborata? Grazie per qualsiasi pensiero!

linux  script  encryption  gnupg 
thirtythreeforty
fonte

Risposte:

7

Se aggiungi --status-fd <fd>, gpg genererà un testo di stato leggibile dal computer nel descrittore di file indicato ( 1per stdout). Per esempio:

$ gpg --status-fd 1 --verify authorized_keys.txt 
gpg: Signature made 2012-08-18T19:25:12 EEST
gpg:                using RSA key D24F6CB2C1B52632
[GNUPG:] SIG_ID BOn6PNVb1ya/KuUc2F9sfG9HeRE 2012-08-18 1345307112
[GNUPG:] GOODSIG D24F6CB2C1B52632 Mantas Mikulėnas <grawity@nullroute.eu.org>
gpg: Good signature from "Mantas Mikulėnas <grawity@nullroute.eu.org>"
gpg:                 aka "Mantas Mikulėnas <grawity@gmail.com>"
[GNUPG:] VALIDSIG 2357E10CEF4F7ED27E233AD5D24F6CB2C1B52632 2012-08-18 1345307112 0 4 0 1 2 00 2357E10CEF4F7ED27E233AD5D24F6CB2C1B52632
[GNUPG:] TRUST_ULTIMATE

Quindi scartare l'output predefinito (reindirizzando 2> /dev/null) e controllare .VALIDSIG fingerprint

Io uso il seguente:

fprint="2357E10CEF4F7ED27E233AD5D24F6CB2C1B52632"

verify_signature() {
    local file=$1 out=
    if out=$(gpg --status-fd 1 --verify "$file" 2>/dev/null) &&
       echo "$out" | grep -qs "^\[GNUPG:\] VALIDSIG $fprint " &&
       echo "$out" | grep -qs "^\[GNUPG:\] TRUST_ULTIMATE\$"; then
        return 0
    else
        echo "$out" >&2
        return 1
    fi
}

if verify_signature foo.txt; then
    ...
fi

Probabilmente dovrai rimuovere il TRUST_ULTIMATEsegno di spunta, ma continua VALIDSIG.

grawity
fonte
Bellissimo. Esattamente quello che stavo cercando!
trentatré
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.