Kontroli Subskribitan Enhavon

Jes. Ĉi tiu paĝo mem ankaŭ estas subskribita.

Ĉi tiu retejo publikigas OpenPGP-klarsubskribitajn kopiojn de artikoloj kaj memstaraj paĝoj. La videblaj ligiloj Subskribo: Elŝuti Kopii ĉe la supro de subskribitaj paĝoj ebligas al vi elŝuti la veran armorigitan dosieron kaj mem kontroli ĝin.

Kio Estas Subskribita?

Por artikoloj kaj memstaraj paĝoj, la subskribita enhavo inkluzivas:

• Leganto-vidatajn frontmatter-kampojn, kiam ili ekzistas: title, menu, publishDate, updatedDate, category, kaj tags
• La Markdown- aŭ MDX-korpon

La jenaj partoj de la retejo estas ne subskribitaj:

• La fina montrata HTML-aranĝo
• Navigado, kapoj, piedlinioj, kaj stiloj
• JavaScript-konduto
• Bildoj, sonaĵoj, kaj aliaj elŝuteblaj aŭdvidaĵoj

La subtila griza OpenPGP-teksto super kaj sub subskribitaj paĝoj estas nur vida indikilo. Por vera kontrolo, uzu la elŝutitan .asc dosieron.

Kion Vi Bezonas

Por kontroli paĝon:

1. Elŝutu la subskribitan .asc dosieron el la paĝo mem.
2. Elŝutu la publikan ŝlosilon ligitan supre (aŭ en la piedlinio).
3. Importu la publikan ŝlosilon en vian OpenPGP-programon.
4. Kontrolu la .asc dosieron.

Fidi La Ŝlosilon

La publika ŝlosilo ligita ĉe ĉi tiu retejo estas oportuna, sed ĝi ne devus esti la sola loko, kiun vi fidas.

Se ĉi tiu retejo iam estus kompromitita, atakanto povus teorie anstataŭigi kaj la paĝan enhavon kaj la publikan ŝlosilon gastigitan ĉi tie. Pro tio, estas bona ideo kompari la fingrospuron montritan en ĉi tiu retejo kun la sama ŝlosilo publikigita ie aliloke, kion oni ne povas tiel facile samtempe falsi.

Bonaj fontoj por tia komparo inkluzivas:

• OpenPGP-ŝlosilservilojn
• Mian publikan ŝlosilan ligilon ĉe GitHub: https://github.com/kylxbn.gpg
• Ajna alia mia profilo aŭ deponejo, kie la sama fingrospuro estas publikigita

La plej sekura kutimo estas kompari fingrospurojn tra pli ol unu fonto antaŭ ol vi konsideras la ŝlosilon fidinda.

Linux

Plej multaj Linux-distribuoj provizas GnuPG kiel gpg.

gpg --import content-signing-public-key.asc
gpg --verify article.asc

Se la subskribo validas, gpg diros al vi, ke la subskribo estas bona, kaj montros informojn pri la subskriba ŝlosilo.

macOS

macOS povas kontroli la dosierojn same, se vi havas GnuPG instalitan.

Se gpg jam disponeblas en Terminal:

gpg --import content-signing-public-key.asc
gpg --verify article.asc

Se vi preferas grafikan labormanieron, vi ankaŭ povas uzi macOS-an OpenPGP-programon, kiu subtenas importi publikan ŝlosilon kaj kontroli klarsubskribitan dosieron.

Windows

En Windows, la plej facila vojo kutime estas Gpg4win, kiu inkluzivas Kleopatra.

Vi povas:

1. Importi la publikan ŝlosilon en Kleopatra
2. Elŝuti la subskribitan .asc dosieron
3. Uzi Kleopatra por kontroli la dosieron

Se vi havas gpg disponebla en PowerShell aŭ Command Prompt, la komandlinia procedo estas tre simila:

gpg --import .\content-signing-public-key.asc
gpg --verify .\article.asc

Kial Entute?

Ĉi tio ebligas al vi sendepende kontroli, ke la subskribita fontoteksto estis publikigita de mi kaj ne estis modifita post subskribo.

Tio ne signifas, ke la tuta fina fonto de la montrata paĝo estas kriptografie sigelita. La sistemo estas intence fokusita al la vera skribita enhavo kaj la ĉefa, leganto-vidata metadatumaro.

Tiu ekvilibro faras la subskribojn utilaj, stabilaj, kaj facile kontroleblaj.