Windowsでダウンロードファイルの正当性検証

スポンサーリンク
Windows
この記事は約4分で読めます。
ランキングに参加しています。応援よろしくお願いします。
ブログランキング・にほんブログ村へ 人気ブログランキングへ FC2ブログランキングへ

Windows10に「Gpg4win」をインストールします。

Gpg4winは、暗号化ソフトウェアツールであるGnuPG(GNU Privacy Guard)で、公開鍵暗号に基づき、電子メールやファイルの暗号化・署名、ファイルの検証などのためのソフトウェアのインストールパッケージです。

1 ファイルのダウンロード

GnuPGのサイトへアクセスし、「Download」ページへ移動します。

「GnuPG BINARY RELEASES」の項目から、「Gpg4win」をクリックすると、最新バージョンのダウンロードページに移ります。

ダウンロードボタンをクリックし、ダウンロードします。

ダウンロードしたところで、気付きます。
このソフトの検証は?と…

ダウンロードボタンの下に、SHA256のハッシュ値があります。
ダウンロードした「Gpg4win」のSHA256のハッシュ値を求めて確認します。

「7-Zip」をインストールしている場合は、右クリックメニューから「CRC SHA」→「SHA256」を選択すると表示されます。

ない場合は、コマンドプロンプトでコマンドから求めます。
まず、調べたいファイルのパスが必要になりますので、[Shift]+右クリックし、メニューから「パスのコピー」を選択します。

>certutil -hashfile c:\PATH\gpg4win-3.1.11.exe sha256
SHA256 ハッシュ (対象 c:\PATH\gpg4win-3.1.11.exe):
156de9f3f50bb5a42b207af67ae4ebcb2d10a7aaf732149e9c468eaf74ce7ffc
CertUtil: -hashfile コマンドは正常に完了しました。

ハッシュ値が同じだと確認できました。

2 インストール

ダウンロードした「exe」ファイルをダブルクリックし、インストールします。
変更等なければそのまま進めます。

「Finish」をクリックし、インストールを完了すると「Kleopatra」が起動します。

3 ペア鍵の作成

「New Key Pair」ボタンをクリックし、公開鍵と秘密鍵のペアを作成します。

「名前」「メールアドレス」を入力し、「詳細設定」ボタンをクリックし設定を確認・変更します。

RSAを「4096ビット」に変更、任意で有効期限の設定をします。

「次へ」進むと、確認画面になりますので「すべての詳細を表示」にチェックを付け、内容を確認し、よければ「Create」ボタンをクリックします。

パスフレーズを入力し、「OK」をクリックすると作成されます。

作成が完了すると、下記画面が表示されるので、「Make a Backup Of Your Key Pair…」をクリックし、秘密鍵のバックアップをします。

パスフレーズを入力し、「OK」をクリックし、保存先を選択するとエクスポートされます。

作成が完了し、一覧に表示されます。

4 ファイルの検証

いよいよ、本題のファイルの検証です。
「復号/検証…」ボタンをクリックし、検証するファイルを選択します。
その際、検証するためのシグネチャファイルは、検証するファイル(今回は、isoファイル)と同じディレクトリに保存しておきます。
選択すると、検証が始まります。

しかし、相手の公開鍵証明書がないため、検証が失敗に終わります。
証明書を入手するため、「Search」ボタンをクリックします。

公開鍵サーバから見つかると一覧に表示されます。
「詳細…」ボタンをクリックし、「Fingerprint」を確認します。

検証したいファイルのサイトを表示し、フィンガープリントの照合をします。

「More details…」をクリックすると、詳細が確認できます。

よければ、「インポート」をクリックし、確認画面が表示されるので「はい」をクリックします。
「署名」をクリックし、自分の証明書で署名します。
パスフレーズの入力を求められるので、入力するとインポートが完了します。

再度、ファイルの検証が開始されます。

署名が有効で、検証も正常に完了しました。

タイトルとURLをコピーしました