Un método común es crear una firma separada en un .sig
archivo (generalmente una firma PGP usando gpg -b
- X.509 es muy poco común) y proporcionar ambos archivos en la misma ubicación. Por ejemplo:
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2.sig
Esto se puede usar con cualquier tipo de archivo, pero el usuario tendrá que verificar la firma manualmente usando gpg --verify
.
Desafortunadamente, de los que están actualmente en uso, ningún formato de archivo (que yo sepa) tiene soporte para firmas integradas usando PGP o X.509. (Esto excluye CAB, que Windows usa internamente pero prácticamente en ningún otro lugar, y es bastante complicado de firmar). WinRAR 4 pudo agregar un registro de "verificación de autenticidad" utilizando un formato propietario, pero utiliza su licencia WinRAR como clave de firma, que se ha descifrado repetidamente. (Actualización: esta característica se eliminó de WinRAR 5 debido a la inseguridad).
En Windows (y pronto Mac OS X), es posible crear un "archivo autoextraíble", un archivo ejecutable firmado digitalmente que extrae un archivo de sí mismo, así es como funcionan los instaladores de software en Windows, por ejemplo. Sin embargo, los SFX están limitados a un solo sistema operativo, por lo que solo son adecuados para distribuir programas , no documentos o imágenes. (Los programas Java se pueden firmar y son multiplataforma, pero pocos sistemas aún tienen un tiempo de ejecución Java).