Cómo verificar una firma PGP, y por qué deberías hacerlo

Descargaste un binario, el desarrollador publicó un archivo .asc junto a él, ¿y ahora qué? La mayoría de las personas no hace nada. Los pocos que verifican detectan ataques a la cadena de suministro antes de ejecutar código comprometido.

Qué prueba realmente una firma

Una firma PGP válida prueba: (1) el archivo no ha sido alterado desde la firma, y (2) fue firmado por alguien que tiene la clave privada cuya contrapartida pública usaste. NO prueba que el firmante sea honesto, ni que la clave pública sea realmente suya.

Si un atacante intercambia el archivo Y publica su propia clave pública, la firma se verifica perfectamente — contra la clave equivocada. Defensa: establece la clave del firmante fuera de banda.

El flujo de verificación

1. Descarga el archivo y la firma (.asc).
2. Obtén la clave pública del firmante de una fuente separada (servidor de claves, dominio diferente, en persona).
3. Abre la herramienta Verificar y pega la firma, el archivo original y la clave pública.
4. Confirma "Firma válida" con el firmante esperado.
5. Comprueba la huella digital contra una fuente en la que confíes.

Separada vs clearsign vs cifrada y firmada

• Separada — .asc en un archivo separado. Para binarios, archivos comprimidos, blobs grandes.
• Clearsigned — texto firmado y firma en un .asc, texto original en claro. Para correos.
• Cifrada+firmada — cifrada para el destinatario y firmada por el remitente. Descifra primero, luego verifica.

Errores comunes

• Verificar con una clave pública descargada del mismo lugar que el binario.
• Ignorar advertencias de "firma correcta, pero clave no certificada".
• Volver a guardar el archivo antes de la verificación — los cambios de fin de línea rompen las firmas separadas.