Обычный метод - создать отдельную подпись в .sig
файле (обычно подпись PGP с помощью gpg -b
- X.509 очень редко) и предоставить оба файла в одном месте. Например:
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2.sig
Это можно использовать с любым типом файла, но пользователь должен будет проверить подпись вручную, используя gpg --verify
.
К сожалению, из тех, которые используются в настоящее время, ни один архивный формат (о котором я знаю) не поддерживает встроенные подписи с использованием PGP или X.509. (Это исключая CAB, который используется Windows для внутреннего использования, но практически нигде больше, и его довольно сложно подписать). WinRAR 4 смог добавить запись «проверки подлинности» в собственном формате, но он использует вашу лицензию WinRAR в качестве ключа подписи, который неоднократно подвергался взлому. (Обновление: эта функция была удалена из WinRAR 5 из-за отсутствия безопасности.)
В Windows (и вскоре в Mac OS X) можно создать «самораспаковывающийся архив» - исполняемый файл с цифровой подписью, который извлекает архив изнутри себя - так работают, например, установщики программного обеспечения в Windows. Однако SFX ограничены одной операционной системой, поэтому они подходят только для распространения программ , а не документов или изображений. (Java-программы могут быть подписаны и являются кроссплатформенными, но немногие системы все еще имеют среду выполнения Java.)