GPG 使用给定的公钥验证文件和分离的签名

Question

我有一个公钥pubkey.asc。 我还有一个文件file.txt 和它的分离签名file.txt.asc。

我要检查以下步骤：

1. file.txt.asc 是 file.txt 的签名
2. file.txt.asc 是使用来自公钥pubkey.asc 的密钥环中的密钥创建的

我可以使用gpg --verify file.txt.asc file.txt 完成第一步。此命令输出用于创建签名的公钥指纹：

gpg: Signature made <date and time>
gpg: using RSA key <fingerprint>
...

我只要运行gpg pubkey.asc就可以看到pubkey.asc的指纹。

我可以使用此信息并仅检查指纹是否等于执行第二步吗？如果不是，如何使用给定的公钥验证文件签名？

我看到this 的问题是关于如何验证签名是否与公钥匹配，但它仅在密钥具有扩展名.gpg 时才有效，这不是我的情况。

Answer 1

OpenPGP 密钥的指纹是公钥本身加上一些附加数据的 SHA1 哈希，它唯一地标识了密钥（不包括冲突情况，这对于 OpenPGP 密钥指纹尚不为人所知）。

所以，是的，看到“由密钥 [指纹] 生成的良好签名”就足以证明签名是由上述密钥生成的。