GPG: как проверить PGP-подпись (Gpg4win)
Коротко Импортируем публичный ключ разработчика, проверяем fingerprint и валидность подписи. Два пути: через GUI (Kleopatra из Gpg4win) или консольной командой gpg --verify. Разбираем случаи Good signature с неизвестным ключом, просроченные/отозванны...
Коротко
Импортируем публичный ключ разработчика, проверяем fingerprint и валидность подписи.
Два пути: через GUI (Kleopatra из Gpg4win) или консольной командой gpg --verify.
Разбираем случаи Good signature с неизвестным ключом, просроченные/отозванные ключи и отсутствие .asc/.sig.
Актуально: 03 октября 2025 • Проверено на: Windows 11/10
Скачать Gpg4win (официальный сайт)
Gpg4win (включает Kleopatra) — удобный комплект для работы с PGP/OpensPGP на Windows. Ниже — как проверить подпись файла (.asc/.sig), сверить fingerprint ключа и не попасться на подмену.
Системные требования
Windows 11/10, права администратора для установки Gpg4win.
Доступ к официальному сайту проекта/разработчика для загрузки .asc/.sig и публичного ключа.
Установка / обновление / удаление
Скачайте и установите Gpg4win (идёт с Kleopatra).
Обновление — поверх, удаление — «Приложения и возможности».
Пошагово: проверка PGP-подписи
1) Импорт публичного ключа разработчика
Скачайте публичный ключ разработчика (developer.asc / .pgp) с официальной страницы продукта и импортируйте:
gpg --import developer.asc
gpg --show-keys developer.asc
gpg --fingerprint
В Kleopatra: «Файл → Импорт сертификатов…» → выберите ключ → проверьте fingerprint в свойствах.
2) Сверьте fingerprint с эталоном
Сравните отпечаток (fingerprint) ключа с эталоном на официальном сайте/репозитории проекта (желательно — по двум каналам: сайт и репозиторий/блог).
3) Проверьте подпись файла
Detached подпись (.asc/.sig + файл):
gpg --verify setup.exe.asc setup.exe
# или:
gpg --verify setup.exe.sig setup.exe
Clearsigned (подписанный текст .asc без отдельного файла):
gpg --verify RELEASE-NOTES.asc
В Kleopatra: «Файл → Расшифровать/Проверить…» → укажите .asc/.sig и (при detached) оригинальный файл.
Как читать результат
Good signature — подпись корректна. Если ключ «неизвестен», всё равно проверьте его fingerprint с эталоном.
Bad signature — файл/подпись не соответствуют. Не используйте файл.
Expired/Revoked — ключ устарел/отозван. Ищите новый ключ на офсайте и повторите проверку.
Важно: проверка подписи дополняет, а не заменяет проверку SHA-256 (хеш-суммы) и здравый смысл (источник скачивания, цифровая подпись EXE/MSI).
Безопасность
Скачивайте ключи и подписи только по официальным ссылкам (без «зеркал» и репаков).
Fingerprint лучше подтверждать по двум независимым источникам (офсайт + репозиторий/блог).
Если подписи нет, а опубликован только хеш — проверьте SHA-256 и цифровую подпись инсталлятора (как посмотреть).
FAQ / типовые проблемы
«Good signature», но ключ неизвестен — можно ли доверять?
Доверять можно только после сверки fingerprint ключа с эталоном. Если не совпадает — файл не используйте.
Ключ истёк или отозван — что делать?
На официальной странице обычно указывают новый ключ или ссылку на объявление. Импортируйте новый ключ и повторите проверку.
Нет файла подписи — как быть?
Некоторые проекты публикуют только хеши. Сверьте SHA-256 и цифровую подпись EXE/MSI (инструкция).
См. также
Проверка цифровой подписи EXE/MSI в Windows
VirusTotal — как проверить файл и URL
Как проверить SHA-256 (хеш-сумма) в Windows
Документация и источники
GnuPG — команды и проверка подписи: manuals/gnupg/Operational-GPG-Commands
GnuPG — примеры проверки (detached/clear): gph/en/manual/x135.html
Gpg4win — проверка в Проводнике (GpgEX) и Kleopatra: package-integrity
OpenPGP — стандарт: RFC 9580
Итог
Проверка PGP-подписи — быстрый способ убедиться в подлинности файла. Главный принцип: работать только с официальными ключами, всегда сверять fingerprint и дополнять проверкой SHA-256. Совет простой: проделайте процедуру на 1–2 реальных файлах, чтобы закрепить навык.
Импортируем публичный ключ разработчика, проверяем fingerprint и валидность подписи.
Два пути: через GUI (Kleopatra из Gpg4win) или консольной командой gpg --verify.
Разбираем случаи Good signature с неизвестным ключом, просроченные/отозванные ключи и отсутствие .asc/.sig.
Актуально: 03 октября 2025 • Проверено на: Windows 11/10
Скачать Gpg4win (официальный сайт)
Gpg4win (включает Kleopatra) — удобный комплект для работы с PGP/OpensPGP на Windows. Ниже — как проверить подпись файла (.asc/.sig), сверить fingerprint ключа и не попасться на подмену.
Системные требования
Windows 11/10, права администратора для установки Gpg4win.
Доступ к официальному сайту проекта/разработчика для загрузки .asc/.sig и публичного ключа.
Установка / обновление / удаление
Скачайте и установите Gpg4win (идёт с Kleopatra).
Обновление — поверх, удаление — «Приложения и возможности».
Пошагово: проверка PGP-подписи
1) Импорт публичного ключа разработчика
Скачайте публичный ключ разработчика (developer.asc / .pgp) с официальной страницы продукта и импортируйте:
gpg --import developer.asc
gpg --show-keys developer.asc
gpg --fingerprint
В Kleopatra: «Файл → Импорт сертификатов…» → выберите ключ → проверьте fingerprint в свойствах.
2) Сверьте fingerprint с эталоном
Сравните отпечаток (fingerprint) ключа с эталоном на официальном сайте/репозитории проекта (желательно — по двум каналам: сайт и репозиторий/блог).
3) Проверьте подпись файла
Detached подпись (.asc/.sig + файл):
gpg --verify setup.exe.asc setup.exe
# или:
gpg --verify setup.exe.sig setup.exe
Clearsigned (подписанный текст .asc без отдельного файла):
gpg --verify RELEASE-NOTES.asc
В Kleopatra: «Файл → Расшифровать/Проверить…» → укажите .asc/.sig и (при detached) оригинальный файл.
Как читать результат
Good signature — подпись корректна. Если ключ «неизвестен», всё равно проверьте его fingerprint с эталоном.
Bad signature — файл/подпись не соответствуют. Не используйте файл.
Expired/Revoked — ключ устарел/отозван. Ищите новый ключ на офсайте и повторите проверку.
Важно: проверка подписи дополняет, а не заменяет проверку SHA-256 (хеш-суммы) и здравый смысл (источник скачивания, цифровая подпись EXE/MSI).
Безопасность
Скачивайте ключи и подписи только по официальным ссылкам (без «зеркал» и репаков).
Fingerprint лучше подтверждать по двум независимым источникам (офсайт + репозиторий/блог).
Если подписи нет, а опубликован только хеш — проверьте SHA-256 и цифровую подпись инсталлятора (как посмотреть).
FAQ / типовые проблемы
«Good signature», но ключ неизвестен — можно ли доверять?
Доверять можно только после сверки fingerprint ключа с эталоном. Если не совпадает — файл не используйте.
Ключ истёк или отозван — что делать?
На официальной странице обычно указывают новый ключ или ссылку на объявление. Импортируйте новый ключ и повторите проверку.
Нет файла подписи — как быть?
Некоторые проекты публикуют только хеши. Сверьте SHA-256 и цифровую подпись EXE/MSI (инструкция).
См. также
Проверка цифровой подписи EXE/MSI в Windows
VirusTotal — как проверить файл и URL
Как проверить SHA-256 (хеш-сумма) в Windows
Документация и источники
GnuPG — команды и проверка подписи: manuals/gnupg/Operational-GPG-Commands
GnuPG — примеры проверки (detached/clear): gph/en/manual/x135.html
Gpg4win — проверка в Проводнике (GpgEX) и Kleopatra: package-integrity
OpenPGP — стандарт: RFC 9580
Итог
Проверка PGP-подписи — быстрый способ убедиться в подлинности файла. Главный принцип: работать только с официальными ключами, всегда сверять fingerprint и дополнять проверкой SHA-256. Совет простой: проделайте процедуру на 1–2 реальных файлах, чтобы закрепить навык.