在Go的openpgp中验证gpg签名

Question

在Go的openpgp中验证gpg签名

gognupgopenpgp

8

我正在尝试编写一个Go程序，用于下载和验证文件。如果可能的话，我希望避免强制用户安装gnupg。

是否可以使用Go的openpgp库或其他Go库，按照此处或此处所述的方式验证带有gpg签名（asc文件）的下载文件？

如有任何示例演示如何使用openpgp验证带有asc签名的文件，将不胜感激。

- mikewilliamson

https://godoc.org/golang.org/x/crypto/openpgp - saarrrr

@saarrrr，我已经遇到过那个库了，但是我不知道如何以这种方式使用它。如果您能提供一个示例，我将不胜感激。我已经尝试澄清我的问题了。 - mikewilliamson

https://gist.github.com/stuart-warren/93750a142d3de4e8fdd2 - saarrrr

@saarrrr 那段代码似乎是在加密和解密东西。我要做的是使用asc签名验证已下载的文件。我的问题中有两个示例链接，你可以看一下。基本上，“gpg --verify package_name.asc”就是我想要做的，看起来我需要添加一个密钥（使用指纹？）才能这样做。你有什么想法吗？ - mikewilliamson

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- lsowen · Accepted Answer

我使用以下代码成功验证了gpg签名：

package main

import (
        "fmt"
        "golang.org/x/crypto/openpgp"
        "os"
)

func main() {
        keyRingReader, err := os.Open("signer-pubkey.asc")
        if err != nil {
                fmt.Println(err)
                return
        }

        signature, err := os.Open("signature.asc")
        if err != nil {
                fmt.Println(err)
                return
        }

        verification_target, err := os.Open("mysql-5.7.9-win32.zip")
        if err != nil {
                fmt.Println(err)
                return
        }

        keyring, err := openpgp.ReadArmoredKeyRing(keyRingReader)
        if err != nil {
                fmt.Println("Read Armored Key Ring: " + err.Error())
                return
        }
        entity, err := openpgp.CheckArmoredDetachedSignature(keyring, verification_target, signature)
        if err != nil {
                fmt.Println("Check Detached Signature: " + err.Error())
                return
        }

        fmt.Println(entity)
}

完整代码：https://gist.github.com/lsowen/d420a64821414cd2adfb