如何在win10上进行MD5 SHA SIG验证

下载到心爱的软件，都迫不及待的想立即使用。但是笔者建议大家在有条件的情况下一定要进行安全性的验证。去年的phpstudy事件再次让我们认识到不进行安全性完整性验证会有很严重的后果。

如果你会使用linux，那么在linux进行安全性验证简直是会用linux的必要条件。这里不再赘述。这里谈下windows下尤其是win10下如何进行安全性验证。

首先是md5，sha1和sha256

就是利用了windows10下的工具，certutil。很方便。笔者建议，大家在需要验证的文件的文件夹下，按住shift单击鼠标右键，打开powershell，这样文件名按两下tab就会自动填充了。方便了很多。

然后是利用gpg对sig进行验证

这时候我们首先需要下载gpg。那么什么是gpg呢。

要了解什么是GPG，就要先了解PGP。

1991年，程序员Phil Zimmermann为了避开政府监视，开发了加密软件PGP。这个软件非常好用，迅速流传开来，成了许多程序员的必备工具。但是，它是商业软件，不能自由使用。所以，自由软件基金会决定，开发一个PGP的替代品，取名为GnuPG。这就是GPG的由来。

如果你对加密解密一头雾水，推荐你看我的文章，客观的说全网找不到更好的入门文章了。

加密，摘要，数字签名、电子证书到底是怎么一回事呢？

下载gpg，需要在官网上下载，并利用上面的方法验证它的sha256

作为windows用户，不用自己编译那么麻烦，直接下windows版本的gpg4win就好了。希望大家给点donation啊。

然后安装，为了适应windows的用户不熟练使用命令行的情况，gpg的Windows版本有可视化窗口kleopatra软件。（随便说一下，你知道这个词的意思吗，就是埃及艳后的名字啊，我想之所以起这个名字是因为她很著名的见凯撒大帝的方式吧）

现在你可以创建密钥引入密钥和密友愉快的交流了。

但是如果要是验证sig文件，笔者建议大家还是使用命令行吧。因为窗口中的功能不那么完美。在命令行如何使用呢：

gpg --verify xx.sig xx

这样就行。但是初次使用几乎一定会遇到问题：no public key的错误提示。

这是因为没有引入对应网站的公钥。于是我们用gpg --recv-keys的办法。

但是同样可能会遇到问题，这是服务器的问题，我们可以采取下面的办法。

之后我们就可以愉快的验证了。如果成功，会说GOOD SIGNATURE。否则会说BAD SIGNATURE。