Re: Wie funktioniert GPG? (war: ^M in Mails filtern...)
On Monday 24 January 2005 09:11, Jan Kesten wrote:
> [...]
> Content-Type: multipart/signed; micalg=pgp-sha1;
> protocol="application/pgp-signature";
> boundary="xxx" (oder ähnlich)
>
> Das erste Attachment ist dann die eigentliche Nachricht und hat einen
> eigenen Content-Type wie
>
> Content-Type: text/plain; charset=UTF-8 (oder irgendwas anderes)
>
> Das zweite Attachment MUSS dann die Signatur dazu sein, mit
>
> Content-Type: application/pgp-signature
>
> - dann extrahiere die Mail
>
> - extrahiere die Signatur
>
> - rufe gpg --verify auf, dem man entweder die beiden Teile der Nachricht
> als Dateien mitgibt (die Signatur und die Nachricht)
>
> gpg --verify singature.asc xyz.tmp
Das habe ich ja gemacht. Dann kommt natürlich auch die Meldung: Can't check
signature: public key not found
Bei meiner eigenen Signatur sagt er hier auf Arbeit: BAD signature from
"Gebhard Dettmar <gebhard.dettmar@student.hu-berlin.de>
Um die jetzt "trusted" zu machen, müsste ich den public key von zu Hause
signieren, dann würde er der Signatur trauen. Dito mit deiner Signatur und
allen anderen, die hier so im Umlauf sind. Deswegen verstehe ich den Sinn des
Signierens nicht so ganz: Ohne permanentes gegenseitiges Signieren (mit
vorherigem Anrufen und Vorlesen des Fingerprints etc.) der jeweiligen
public-keys ist das Ganze doch eher sinnlos, oder?
> Oder man schickt die Nachricht durch eine Pipe und gibt nur die
> Signatur als Datei mit:
>
> gpg --verify signature.asc < file
> cat file | gpg --verify signature.asc
>
> So oder so ähnlich :-)
Ich fürchte, das klappt nicht wegen: gpg --verify [sigfile] [signedfile]. Was
ich bei man gpg nicht ganz verstehe, ist: To read the signed stuff from
stdin, use - as the second filename. ???
> - werte den Exitcode aus und zeige das Ergebnis an
>
> Hoffe mal das ist verständlich und halbwegs richtig,
> Jan
Gruß Gebhard
Reply to: