Jak funguje ověření souboru pomocí podpisu?

Když si například chci ověřit veracrypt instalačku pomocí programu gpg, jak přesně se použije PGP public key a PGP signature?
Ten public key se použije na dešifrování nebo na šifrování?

Předmět	Autor	Datum
Public key se obecně použije na šifrování, takže ti v případě, řekněme e-mailu, může napsat každý. J… Kyncl 08.11.2020 16:13	Kyncl	08.11.2020 16:13
Podpis slouží k ověření autenticity. Podpis se vydava autorovi, ten pak instalacku podepíše a pokud… Jan Fiala 08.11.2020 16:45	Jan Fiala	08.11.2020 16:45
A jak mám zaručeno, že podpis je platný? Co jsem googlil, tak to zaručuje certifikační autorita, od… Tosk 08.11.2020 18:52	Tosk	08.11.2020 18:52
Pokud je to od veřejné certifikační autority, tak ten podpis vydává autorita, která si při vydání ov… Jan Fiala 08.11.2020 21:50	Jan Fiala	08.11.2020 21:50
Na tom obrázku https://pc.poradna.net/files/20403-code-signing-verification-process-png je vidět, že… Tosk 08.11.2020 22:23	Tosk	08.11.2020 22:23
Při podepisování se spočítá hash souboru a ten je pak součástí podpisu. Je to i na tom obrázku. Pri… Jan Fiala 08.11.2020 22:38	Jan Fiala	08.11.2020 22:38
Na toto téma jsem viděl někde publikaci od cz nic dokonce v češtině, zkusím se podívat ... zde https… ml1 09.11.2020 13:04	ml1	09.11.2020 13:04
Díky za tip, podívám se na to poslední Tosk 09.11.2020 23:01	Tosk	09.11.2020 23:01

Public key se obecně použije na šifrování, takže ti v případě, řekněme e-mailu, může napsat každý.
Jak ověřit soubor říká Google hned na prvním místě.

Podpis slouží k ověření autenticity.
Podpis se vydava autorovi, ten pak instalacku podepíše a pokud se pak ve vlastnostech exe podíváš na digitální podpis (pokud je obsažený) uvidíš kdo exe podepsal. Pokud je podpis platný, je zajištěno, že od okamžiku podpisu se exe nezměnil. Pokud by do něj nekdo pak sahnul a změnil byť jediný bajt, podpis by tozneplatnilo.

Jednodušší metodou bez vloženého podpisu je hash na strance autora. Ty zkontrolujes hash na svém souboru a pokud souhlasí, máš zajištěno, že jde o autentický soubor a nikdo jej nezměnil.

A jak mám zaručeno, že podpis je platný? Co jsem googlil, tak to zaručuje certifikační autorita, od které už mám v PC nějaké certifikáty. Ale jak se ten podpis teda ověří? To už mám v PC nějakou obří databázi podpisů? Nebo se to dělá přes internet?

Pokud je to od veřejné certifikační autority, tak ten podpis vydává autorita, která si při vydání ověřuje informace.
Pokud chceš vědět, jak získat takový podpis, tak třeba tady:
https://pc.poradna.net/articles/1410115-podepisovani-kodu-aneb-jak-ziskat-code-signing-certifikat

Ty nemáš v PC databázi podpisů, ale máš pár certifikátů autorit. Autorita ověří, že ten podpis je platný a vlastní podpis ověřuje to, že když autor podpisu soubor podepsal, tak s ním nikdo od doby podpisu nemanipuloval.

Na tom obrázku https://pc.poradna.net/files/20403-code-signing-verification-process-png je vidět, že na konci se musí porovnat hashe. Ale každý program/podpis má přece jiný hash. Při tom ověřování toho veracryptu vznikne nějaký hash, ale s čím se porovná?

Při podepisování se spočítá hash souboru a ten je pak součástí podpisu. Je to i na tom obrázku.
Pri ověření se znovu spočítá hash souboru a porovná se s tím, který byl uložen v době podpisu.

Na toto téma jsem viděl někde publikaci od cz nic dokonce v češtině, zkusím se podívat ... zde https://knihy.nic.cz/files/edice/bajecny_svet_elektronickeho_podpisu_cznic.pdf
Doporučuju pozornosti i ostatní tituly https://knihy.nic.cz/

Díky za tip, podívám se na to

Zpět do poradny Odpovědět na původní otázku Nahoru