Page 1 of 1
web verification for GnuPG signed message?
Posted: Thu Jun 10, 2004 12:16 pm
by pahud
一般我們收到GPG sign過的內容,都會使用gpg command搭配pubkey ring來做verify動作,有些MUA例如kmail之類會內建verify功能,但是一般end-user可能是使用outlook, 沒有gpg外掛,我想要提供一個web介面讓end-user copy/paste這個signed過的訊息,並選擇我的public key之後,由web server來負責verify的動作,並把結果秀在網頁上。
Does this thought make sense? Is there anyone already implemented this?
似乎google上找不到類似的網站有提供這類的服務,不然就得自己寫了。
Posted: Sun Jun 27, 2004 12:40 am
by feuer
沒有具體的建議,提供一個 resource 可以由wwwkeys.de.pgp.net 取得 public key.
用法像這樣:
http://wwwkeys.de.pgp.net:11371/pks/loo ... 0x7247C5AB
不過,有個不信任危機存在,
如果輸入編碼文件,會有被偷的機會。
Posted: Sun Jun 27, 2004 3:54 am
by 【Palatis】
pahud 的意思應該只是要作 signed msg verify 的動作, 而不是 encrypted msg decrypt.
這樣就沒有所謂被偷不被偷的問題, 因為只是驗證簽名是否有效.
我覺得要作應該是可以, 只是目前沒有任何 webmail implement 而已.
Posted: Sun Jun 27, 2004 8:35 am
by pahud
喔!我不需要webmail implementation耶...事實上我做這個介面的目的是,讓公司同事或是朋友可以在我提供的web介面很方便的驗證我的gpg signed msg, 不需要用其他client端的外掛或是gpg command.
目前觀察的結果是:
. PHP沒有提供gpg相關的library, 可能必須用popen()等函示來呼叫gpg command
. 執行gpg command的話,會自動產生~/.gnupg目錄, 如果是apache身份來執行,便會產生~apache/.gnupg目錄..
我還在看gpg manpage, 看看有什麼方法可以乾淨些。
其實程式要做的只有以apache身份用gpg command使用他人的public key來驗證他人的gpg signed msg. 且不產生~apache/.gnupg目錄.
我可能得先研究command要怎麼下.

Posted: Sun Jun 27, 2004 7:07 pm
by feuer
奇怪,為啥一定不要有~apache/.gnupg 啊?
gpgv 有 --keyring 可用,必要的話,還有 --homedir 。
gpg, gpgv 不吃 "~" 符號,要給完整目錄,或 "./" 。