概述:
有时候在网上下载文件是否源文件(官方发布的版本)?是否被人篡改过?我们如何验证这些完整性。这里涉及三种校验方法pgp 、MD5、SHA1。本质上,由源文件采用对应算法生成一个字符串。如果源文件改过那么生成的字符串和官方给不一样。这里以Apache Ant 下载的文件为例
1、PGP(Pretty Good Private)
PGP(Pretty Good Privacy),是一个基于RSA公钥加密体系的邮件加密软件。可以用它对邮件保密以防止非授权者阅读,它还能对邮件加上数字签名从而使收信人可以确认邮件的发送者,并能确信邮件没有被篡改。它可以提供一种安全的通讯方式,而事先并不需要任何保密的渠道用来传递密匙。它采用了一种RSA和传统加密的杂合算法,用于数字签名的邮件文摘算法,加密前压缩等,还有一个良好的人机工程设计。它的功能强大,有很快的速度。而且它的源代码是免费的。(摘自百度百科)
需要一个PGP工具,下载地址:PGP工具
下载安装,
下载Apache Ant文件 和 对应PGP文件 ,以及KEYS(你可以理解钥匙) 地址:Apache Ant
下载完:
打开dos窗口:
gpg --import KEYS 导入钥匙环 (表示切换到有KEYS文件目录下)
导入钥匙环,就可以用下载文件.asc进行验证了 gpg --verify apache-ant-1.10.1-bin.zip.asc
pgp远远不止这些功能,可以参考百度百科的pgp介绍。
2、采用md5验证
原理:用原始文件md5加密生成一个字符串。然后让你
这个版本的md5生成加密字符串:
0a4530999b71f92bf17ae823ed3b0b2d 如何验证md5字符串呢,需要工具。下载地址:md5工具
下载完解压到任意磁盘目录下
为了方便将验证文件放置当前目录下
有dos命令切换到当前目录下
你会发现,什么也没有输出怎么知道,成功没?这时候需要自己动手写一个md5script.bat文件,内容如下
@echo off
md5 -c%1 %2
IF NOT errorlevel 1 GOTO valid
echo Signature not valid.
GOTO end
:valid
echo Signature valid.
:end
这个脚本意思执行过程是否异常,如果有异常就是打印签名无效 ,反之亦然。 %1 (官方md5字符串) %2(验证源文件)表示占位符,等会运行这个脚本传入的参数
3、SHA1验证
这个和md5类似,只是加密算法不一样
工具地址:支持md5和SHA1验证 (不用安装)
点击SHA1 将字符串另存为*.sha1文件 fsum -jf -sha1 -c apache-ant-1.10.1-bin.zip.sha1
还是没有看出效果,要不先用-sha1加密源文件,然后比对验证生成字符串是否与官方给的相同
采用-sha1加密源文件,注意文件fsum.exe文件位置
打开验证文件 apache-ant-1.10.1-bin.zip.sha1 发现一样的。