İmza dosyasını oluşturan kişinin “public.key” dosyasını edinin.
Bu kişinin web sitesinden veya bir yazılım ise örneğin, yazılımın README dosyasından bunu bulabilirsiniz. Örneğin;
gpg --keyserver pgp.mit.edu --recv-keys <parmakizi>Akabinde teyit etmek istediğiniz PGP/ASC imza dosyasını bilgisayarınıza kaydedin ve kaydettiğiniz dizinde bir terminal açın.
gpg --verify <imza_dosyasi>.asc
komutunu verin.
Aşağıdaki gibi (“Good signature” ifadesine dikkat) bir çıktı alırsanız teyit işlemi başarılıdır. Bu çıktıda “BAD signature” ifadesini görürseniz bu imzaya ve/veya imzalanan nesneye güvenmemeniz gerekir.
$ gpg --verify XXX-1.1.12.tar.gz.asc
gpg: assuming signed data in `XXX-1.1.12.tar.gz'
gpg: Signature made Mon 11 Jan 2016 08:08:13 PM EET using RSA key ID 944XXXX6
gpg: Good signature from "X <x@gmail.com>"
gpg: aka "X <x@gmx.de>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 3E70 692E XXXX 8BDD A599 1C90 615F XXXX 944B 4826
Avukat, yazılım geliştirici. Amerika’da yaşıyor.