Certificados digitales

Algo interesante es como verificar las firmas digitales. Usualmente vemos firmas digitales en correos electronicos, las dos firmas mas comunes son las de GPG y las de S/MIME o basada en certiicados digitales.

Si recibes una firma tipo p7s, esto es un formato de SMIME. La instruccion para verificar esta firma es via este comando.

openssl pkcs7 -print_certs -inform DER -in smime.p7s

Firmas digitales

En GPG la verificacion es diferente, esta es realmente un hash donde firmas el contenido de tu firma. Esta puede ser integrada en el correo o con un adjunto. La mejor practica es como adjunto pero aun hay muchos que la firman de forma integrada.

gpg --verify file.sig
gpg --search-sig

Otras veces se observa un bloque el cual es una firma digital basada en el hash de una firma ejemplo:

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)

iD8DBQA/HEG8iAEJSii8s+MRArYEAJ9PddhjlQzGFweKDytVtv4l3S826gCeLUz/
kRKXAH3Is/EkrI05SDhGgF0=
=l1Vw
-----END PGP SIGNATURE-----

Para verificar este bloque puedes simplemente guardarlo en un archivo y verificar:
$ gpg firma.asc

Good signature from user Blabhblah <blah@blahblahu>".
Signature made 2003/01/30 16:32 GMT

en caso de no tener su firma podemos tener un mensaje como este:

gpg: Signature made Tue 01 Sep 2009 01:52:43 PM CDT using DSA key ID XXXXX
gpg: Can't check signature: public key not found

Claro que para esto podras buscarlas usando --search-key y localizarlo,