ダウンロード用に提供しているPHPスクリプトを使って.tarアーカイブのチェックサム/ハッシュを生成する方法を教えてください。私は主にこれを完全性検証メカニズムとして望んでいます。コード署名証明書(Comodoなど)を取得する代わりに、フリー/シンプル/代替の方法がありますか?ありがとう。私の「バイナリ」をコードする方法は? (PHPスクリプト)
編集:これは意味があるかどうかわかりません/適用可能ですが、すべてのファイルに1つずつ、結果の.tarアーカイブのみに署名したくありません。
unixコマンドラインツールsha1sum filename.tarまたはハッシュを生成するその他のプログラムやツールを使用して、アーカイブのsha1ハッシュを生成するだけです。次に、ダウンロード用のファイルを提供するときに、そのコマンドの出力を列挙します。ユーザーがアーカイブをダウンロードすると、同じことができます。出力が一致すると、ファイルは同じになります。
Apache Webserverのようないくつかのオープンソースプロジェクトは、SHA1-sumを出して、さらにGPG/PGP署名をリリースします。あなたは無料であるためにgnupgを使用することができます。
鍵ペアを作成し、公開鍵(ウェブサイトまたはhttp://pgp.mit.edu/のような鍵サーバ)を共有し、自分の側に秘密鍵を保管します。プライベートキーは.tarの署名に使用され、ユーザーは公開キーを使用して.tarを確認できます。
はこの機能の仕組みとは異なりますか? http://php.net/manual/en/function.openssl-sign.php – Bruno
オンザフライで生成しますか?コマンドラインツールを使ってチェックサムを生成してユーザーに表示するだけでいいですか? – dubvfan87
どちらもOKですが、2番目の方が簡単だと思います。手動でチェックサムを生成してオンラインで投稿するかどうかは気にしません。これは私がとにかく念頭に置いていたものです。 – Ion