Hallo,
> Hab ich mir schon gedacht (wegen: no signed data) Aber wie prüft mein
> MUA das, wenn sie angehängt ist?
Ich denke der wird etwa folgendes machen:
- prüfen, ob es eine Nachricht im PGP/MIME Format
im Header der Mail steht dann folgendes:
Content-Type: multipart/signed; micalg=pgp-sha1;
protocol="application/pgp-signature";
boundary="xxx" (oder ähnlich)
Das erste Attachment ist dann die eigentliche Nachricht und hat einen
eigenen Content-Type wie
Content-Type: text/plain; charset=UTF-8 (oder irgendwas anderes)
Das zweite Attachment MUSS dann die Signatur dazu sein, mit
Content-Type: application/pgp-signature
- dann extrahiere die Mail
- extrahiere die Signatur
- rufe gpg --verify auf, dem man entweder die beiden Teile der Nachricht
als Dateien mitgibt (die Signatur und die Nachricht)
gpg --verify singature.asc xyz.tmp
Oder man schickt die Nachricht durch eine Pipe und gibt nur die
Signatur als Datei mit:
gpg --verify signature.asc < file
cat file | gpg --verify signature.asc
So oder so ähnlich :-)
- werte den Exitcode aus und zeige das Ergebnis an
Hoffe mal das ist verständlich und halbwegs richtig,
Jan
Attachment:
signature.asc
Description: OpenPGP digital signature