İmza dosyasını oluşturan kişinin “public.key” dosyasını edinin.
Bu kişinin web sitesinden veya bir yazılım ise örneğin, yazılımın README dosyasından bunu bulabilirsiniz. Örneğin;
gpg --keyserver pgp.mit.edu --recv-keys <parmakizi>Akabinde teyit etmek istediğiniz PGP/ASC imza dosyasını bilgisayarınıza kaydedin ve kaydettiğiniz dizinde bir terminal açın.
gpg --verify <imza_dosyasi>.asc
komutunu verin.
Aşağıdaki gibi (“Good signature” ifadesine dikkat) bir çıktı alırsanız teyit işlemi başarılıdır. Bu çıktıda “BAD signature” ifadesini görürseniz bu imzaya ve/veya imzalanan nesneye güvenmemeniz gerekir.
$ gpg --verify XXX-1.1.12.tar.gz.asc
gpg: assuming signed data in `XXX-1.1.12.tar.gz'
gpg: Signature made Mon 11 Jan 2016 08:08:13 PM EET using RSA key ID 944XXXX6
gpg: Good signature from "X <x@gmail.com>"
gpg: aka "X <x@gmx.de>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 3E70 692E XXXX 8BDD A599 1C90 615F XXXX 944B 4826
Amerika’da yaşayan bir avukat ve yazılım geliştiriciyim. “Herkese açık not defterim” olarak tanımladığım bu sitede, gelecekteki kendim ve ilgilenen herkes için çoğunlukla teknik notlar paylaşıyorum.
Geliştirdiğim uygulamalardan biri Masterlist: Focus & Tasks (App Store). Gizliliğe saygılı, yalnızca yerel depolama kullanan, hangi görev ve projeye ne kadar zaman ayırdığınızı görebileceğiniz, Pomodoro tekniğiyle uyumlu bir görev yöneticisidir.