Коротко
- Импортируем публичный ключ разработчика, проверяем fingerprint и валидность подписи.
- Два пути: через GUI (Kleopatra из Gpg4win) или консольной командой
gpg --verify. - Разбираем случаи Good signature с неизвестным ключом, просроченные/отозванные ключи и отсутствие .asc/.sig.
Gpg4win (включает Kleopatra) — удобный комплект для работы с PGP/OpensPGP на Windows. Ниже — как проверить подпись файла (.asc/.sig), сверить fingerprint ключа и не попасться на подмену.
Системные требования
- Windows 11/10, права администратора для установки Gpg4win.
- Доступ к официальному сайту проекта/разработчика для загрузки .asc/.sig и публичного ключа.
Установка / обновление / удаление
- Скачайте и установите Gpg4win (идёт с Kleopatra).
- Обновление — поверх, удаление — «Приложения и возможности».
Пошагово: проверка PGP-подписи
1) Импорт публичного ключа разработчика
Скачайте публичный ключ разработчика (developer.asc / .pgp) с официальной страницы продукта и импортируйте:
gpg --import developer.asc gpg --show-keys developer.asc gpg --fingerprint <KEYID>
В Kleopatra: «Файл → Импорт сертификатов…» → выберите ключ → проверьте fingerprint в свойствах.
2) Сверьте fingerprint с эталоном
Сравните отпечаток (fingerprint) ключа с эталоном на официальном сайте/репозитории проекта (желательно — по двум каналам: сайт и репозиторий/блог).
3) Проверьте подпись файла
Detached подпись (.asc/.sig + файл):
gpg --verify setup.exe.asc setup.exe # или: gpg --verify setup.exe.sig setup.exe
Clearsigned (подписанный текст .asc без отдельного файла):
gpg --verify RELEASE-NOTES.asc
В Kleopatra: «Файл → Расшифровать/Проверить…» → укажите .asc/.sig и (при detached) оригинальный файл.
Как читать результат
- Good signature — подпись корректна. Если ключ «неизвестен», всё равно проверьте его fingerprint с эталоном.
- Bad signature — файл/подпись не соответствуют. Не используйте файл.
- Expired/Revoked — ключ устарел/отозван. Ищите новый ключ на офсайте и повторите проверку.
Важно: проверка подписи дополняет, а не заменяет проверку SHA-256 (хеш-суммы) и здравый смысл (источник скачивания, цифровая подпись EXE/MSI).
Безопасность
- Скачивайте ключи и подписи только по официальным ссылкам (без «зеркал» и репаков).
- Fingerprint лучше подтверждать по двум независимым источникам (офсайт + репозиторий/блог).
- Если подписи нет, а опубликован только хеш — проверьте SHA-256 и цифровую подпись инсталлятора (как посмотреть).
FAQ / типовые проблемы
«Good signature», но ключ неизвестен — можно ли доверять?
Доверять можно только после сверки fingerprint ключа с эталоном. Если не совпадает — файл не используйте.
Ключ истёк или отозван — что делать?
На официальной странице обычно указывают новый ключ или ссылку на объявление. Импортируйте новый ключ и повторите проверку.
Нет файла подписи — как быть?
Некоторые проекты публикуют только хеши. Сверьте SHA-256 и цифровую подпись EXE/MSI (инструкция).
См. также
- Проверка цифровой подписи EXE/MSI в Windows
- VirusTotal — как проверить файл и URL
- Как проверить SHA-256 (хеш-сумма) в Windows
Документация и источники
- GnuPG — команды и проверка подписи: manuals/gnupg/Operational-GPG-Commands
- GnuPG — примеры проверки (detached/clear): gph/en/manual/x135.html
- Gpg4win — проверка в Проводнике (GpgEX) и Kleopatra: package-integrity
- OpenPGP — стандарт: RFC 9580
Итог
Проверка PGP-подписи — быстрый способ убедиться в подлинности файла. Главный принцип: работать только с официальными ключами, всегда сверять fingerprint и дополнять проверкой SHA-256. Совет простой: проделайте процедуру на 1–2 реальных файлах, чтобы закрепить навык.
Профиль Автора
