인터넷에서 다운로드한 파일을 윈도 운영체제에서 GPG signature 방식으로 검증하는 방법에 대해 알아보겠습니다.
(다운로드 완료된 파일이 원본 파일과 동일한 안전한 파일인지 검사)
GPG 검증 가능 여부 검사
윈도에서 GPG signature를 검증하려면 gpg 명령어가 실행되어야 합니다.
일단 윈도우키+R을 누르고 cmd를 실행합니다.
명령 프롬프트에 gpg 를 입력하고 엔터 키를 누릅니다.
위 화면처럼 "gpg는 내부 또는 외부 명령, 실행할 수 있는 프로그램, 또는 배치 파일이 아닙니다"라는 메시지가 나온다면 Gpg4win이라는 프로그램을 설치해야 합니다.
Gpg4win 프로그램 다운로드
아래 링크된 글은 Gpg4win 프로그램을 쉽게 다운로드할 수 있는 가이드를 제공합니다.
https://zeliard.tistory.com/entry/how-download-gpg4win-app
Gpg4win 프로그램 다운로드 방법
Gpg4win 프로그램 다운로드 방법입니다.먼저 아래 링크된 gnupg 공식 사이트에 접속합니다.https://gnupg.org/download/index.html GnuPG - DownloadNote that you may also download the GNU Privacy Guard from a mirror site close to you
zeliard.tistory.com
Gpg4win 프로그램을 설치하면 명령 프롬프트에서 gpg 명령어를 잘 인식하게 됩니다.
(cmd 종료 후 재실행)
gpg 명령어를 잘 인식하면 Ctrl+C 키를 눌러서 빠져나옵니다.
GPG signature 검증하기
다운로드 파일을 제공한 인터넷 사이트에서 .asc(공개키) 와 다운로드 파일에 대한 .sig 파일을 구합니다.
(보통 다운로드 및 GPG signature 관련 메뉴에서 제공)
공개키를 위 화면처럼 텍스트 형태로 제공할 경우 우클릭하고 다른 이름으로 저장합니다.
파일 이름 끝에 .txt를 지우고 .asc로 저장합니다.
파일 탐색기에서 공개키 asc 파일, 다운로드 파일에 대한 sig 파일, 다운로드 파일 이렇게 3개의 파일이 존재하는 폴더로 이동하고 cmd를 실행합니다.
![C:\Windows\System32\cmd
C:\> gpg -- import GpgPublicKey.asc
gpg: key F1DF1D8D8F1DF1D8: 5 signatures not checked due to missing keys
gpg: key F1DF1D8D8F1DF1D8: *(public key) "sample app name" *(imported)
gpg: Total number processed: 1
gpg: imported: 1
gpg: no ultimately trusted keys found
C:\> gpg -- verify app.zip.sig app.zip
gpg:
gpg: Signature made 01/01/25 00:00:00
gpg: using RSA key F1DF1D8D8F1DF1D8F1DF1D8DF1DF1D8D8F1DF1D8
gpg: *(Good signature) from "sample app name" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: F1D8 F1D8 F1D8 F1D8 F1D8 F1D8 F1D8 F1D8 F1D8 F1D8
C:\>](https://blog.kakaocdn.net/dna/bMq7uy/btsNfdd9qGg/AAAAAAAAAAAAAAAAAAAAAI1PxmEsrSHssSe5Wr-zaitUiDkt_Tt3FMFNsiWlXmSa/img.webp?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1753973999&allow_ip=&allow_referer=&signature=chCnCzNpCSTKd4RflNn%2BvjV%2Blh0%3D)
다음 명령어를 실행합니다.(공개키 등록)
명령어 형식: gpg --import (공개키 파일 이름).asc
만약 공개키 파일 이름이 GpgPublicKey.asc라면
gpg --import GpgPublicKey.asc
명령어를 실행하면 됩니다.
실행 후 결과 화면에서 "public key", "imported", "imported: 1" 문자열이 표시되는지 확인합니다.
이 문자열들이 표시됐다면 정상적으로 공개키가 등록됐다는 의미입니다.
공개키가 잘 등록됐다면 다음 명령어를 실행합니다.(다운로드 파일 검증)
명령어 형식: gpg --verify (sig 파일 이름).sig (다운로드 파일 이름)
만약 sig 파일 이름이 app.zip.sig 이고 다운로드한 파일 이름은 app.zip일 경우 명령어는 다음과 같이 됩니다.
gpg --verify app.zip.sig app.zip
명령어 실행 후 결과 화면에서 "Good signature"라는 문자열이 표시되면 다운로드한 파일이 원본 파일과 동일한 정상적인 파일이라는 뜻입니다.
검증에 실패했다면 다운로드한 파일이 위변조 됐거나 깨졌다는 의미이므로 다시 다운로드합니다.
'윈도우 관련' 카테고리의 다른 글
| 윈도우11, 10, 7 운영체제별 사용자 계정 이름 확인하는 방법 (0) | 2025.04.17 |
|---|---|
| 윈도OS: 키보드 및 마우스 작동을 일시적으로 비활성화하는 방법(BlueLife KeyFreeze) (0) | 2025.04.14 |
| 윈도우10 지원 종료 대비 방법 (0) | 2025.02.13 |
| 안드로이드 휴대폰 화면을 윈도우 PC와 실시간으로 공유하는 방법(scrcpy) (0) | 2025.01.13 |
| 윈도우 운영체제에서 exe 실행 파일에 부여된 관리자 권한 취소하기 (0) | 2024.12.06 |
댓글