Comment fusionner plusieurs signatures détachées de différentes personnes en une seule?

4

Un groupe de personnes veut publier un fichier et tous veulent signer numériquement le fichier car différents destinataires du fichier auront des chaînes de confiance . Pour plus de simplicité, il est souhaitable qu’il n’y ait qu’un seul signature détachée fichier avec toutes les signatures, afin que les destinataires n'aient pas besoin de les vérifier une par une:

foo.tar.gz
foo.tar.gz.sig

Toutefois, pour des raisons de sécurité, chaque personne doit effectuer la signature sur son ordinateur. Il est donc impossible de créer la signature combinée en disposant plusieurs clés privées sur un ordinateur et en effectuant l'opération avec une seule commande.

Est-il possible avec GPG de fusionner d'une manière ou d'une autre les signatures détachées d'un fichier provenant de plusieurs participants?

Petr Pudlák
la source

Réponses:

6

Signatures créées avec gpg --detach-sign contenir un paquet "signature" OpenPGP chacun. Vous pouvez les combiner dans un seul fichier en utilisant catet la plupart des programmes PGP doivent reconnaître automatiquement plusieurs paquets de signatures dans un seul fichier.

grawity
la source
Je vous remercie. Ce comportement est-il officiellement documenté quelque part ou est-il simplement basé sur l'expérience?
Petr Pudlák
Voici comment fonctionne OpenPGP. Les fichiers OpenPGP sont de simples listes de paquets concaténés. Il suffit de signer un fichier à l’aide de plusieurs clés sur un même ordinateur et gpg --list-packets; et faire la même chose avec le cat version.
Jens Erat