验证文件的数字签名

★前言
文件的数字签名的工具有很多，我说说三个比较典型的工具：SignTool、MakeCat和GPG。

SignTool和MakeCat是微软的，只能用于Windows；GPG是一款用于信息加密、验证的软件，而且是跨平台的，强无敌！

数字签名的过程和原理不解释了，直接讲最实用的部分——验证。
★常见的文件数字签名
文件的数字签名有四种常见的形式：“.exe”、“.gpg”、“.asc”和“.sig”。
“.exe”是用SignTool制作的，后面三种是用GPG制作的。下面我着重介绍这四种数字签名该如何校验。
★“.exe”
大伙儿比较常见的是 Windows 平台下的数字签名。如今大型 IT 公司（比如：微软、Google、苹果、等）或者是知名开源组织发布的 Windows 软件，安装文件通常都内置数字签名。
◇利用资源管理器验证单个文件
大概从 Windows 2000开始，Windows 就支持在某个文件尾部附加数字签名，并且 Windows 的资源管理器内置了对数字签名的校验功能。
下面俺通过几个截图，简单介绍一下：如何在资源管理器中验证数字签名。

比如，俺手头有一个 Firefox 的安装文件（带有数字签名）。当俺查看该文件的属性，会看到如下的界面。眼神好的同学，会注意到到上面有个“数字签名”的标签页。如果没有出现这个标签页，就说明该文件没有附带数字签名。

选择该标签页，出现如下界面。
顺便说一下，某些数字签名中没有包含“邮件地址”，那么这一项会显示“不可用”；同样的，某些数字签名没有包含“时间戳”，也会显示“不可用”。不要紧张，这里显示的“不可用”跟数字签名的有效性没关系。

一般来说，签名列表中，有且仅有一个签名。选中它，点“详细信息”按钮。跳出如下界面：
通常这个界面会显示一行字：该数字签名正常（图中红圈标出）。如果有这行字，就说明该文件从出厂到你手里，中途没有被篡改过（是原装滴、是纯洁滴）。

如果该文件被篡改过了（比如，感染了病毒、被注入木马），那么对话框会出现一个警告提示：该数字签名无效（图中红圈标出），界面如下。一旦出现数字签名无效，那这个文件就不要再使用了。

◇利用命令行工具批量验证
用上面的图形化界面进行验证，比较傻瓜化。但有一个缺点——如果你要验证的文件比较多，一个一个去点对话框，手会抽筋滴。所以，俺再介绍一下命令行的工具，适合进行批量验证。

这个命令行工具就是微软官网提供的 SigCheck，由大名鼎鼎的 SysInternals 出品（SysInternals 已经被微软收购），它是一个小巧、绿色、免费的命令行工具，下载页面在“这里”：

https://docs.microsoft.com/en-us/sysinternals/downloads/sigcheck

使用如下命令，可以批量检查某个目录下（包括多层嵌套子目录）的所有可执行程序，并且把“无签名”或者“签名无效”的文件列出来。

sigcheck -u -e -s某个目录的路径名

先提醒一下：
检查数字签名的有效性本身就比较慢，如果目录下的文件很多，你要有足够的耐心等它运行完毕。
★“.gpg”、“.asc”和“.sig”
由于篇幅太长，请看《验证gpg、asc和sig》。
★结尾
这里只演示了验证较常见的四种签名，基本上涵盖了绝大部分普通用户的应用情况，有更多精力可以去深入了解Windows和Linux的签名，关键词就是SignTool、MakeCat和GPG。
★参考文献
1.扫盲文件完整性校验——关于散列值和数字签名
2.SignTool (Windows)
3.MakeCat (Windows)
4.The GNU Privacy Guard