Emacs-23.1 がリリースされた。せっかくなのでソースが改竄されていないか、検証をしっかりやってみた。

Emacs 23.1 released
http://lists.gnu.org/archive/html/emacs-devel/2009-07/msg01526.html

上記によると、MD5 check-sums は以下のとおり。

17f7f0ba68a0432d58fa69d05a2225be  emacs-23.1.tar.bz2

ふむ。合ってる。改竄はされていないだろう。

% md5sum emacs-23.1.tar.bz2
17f7f0ba68a0432d58fa69d05a2225be  emacs-23.1.tar.bz2

しかし、MD5 が 100% 信用できるわけではないので、emacs-23.1.tar.bz2 と同じ場所にある emacs-23.1.tar.bz2.sig を使って、さらに確かめる。

% gpg --verify emacs-23.1.tar.bz2.sig emacs-23.1.tar.bz2
gpg: 2009年07月30日 10時18分53秒 JSTにDSA鍵ID BC40251Cで施された署名
gpg: 署名を検査できません: 公開鍵が見つかりません

まあ、ID BC40251C の公開鍵は持ってないよね。公開鍵を取得しようか。

% gpg --keyserver pgp.nic.ad.jp --recv-keys BC40251C
gpg: 鍵BC40251Cをhkpからサーバーpgp.nic.ad.jpに要求
gpg: 鍵BC40251C: 公開鍵“Chong Yidong <[email protected]>”を読み込みました
gpg: 絶対的に信用する鍵が見つかりません
gpg:     処理数の合計: 1
gpg:           読込み: 1

再度検証。警告はされたが、正しい署名であることは確認できた。終了。

% gpg --verify emacs-23.1.tar.bz2.sig emacs-23.1.tar.bz2
gpg: 2009年07月30日 10時18分53秒 JSTにDSA鍵ID BC40251Cで施された署名
gpg: “Chong Yidong <[email protected]>”からの正しい署名
gpg: 警告: この鍵は信用できる署名で証明されていません!
gpg:       この署名が所有者のものかどうかの検証手段がありません。
主鍵の指紋: AF1A 0574 841E 0F2D EDE2  829A 764D A716 BC40 251C

ちなみに警告をなくす方法は以下のとおり。

% gpg --edit-key BC40251C
(略)
コマンド> trust
(略)
あなたの決定は? 5
本当にこの鍵を絶対的に信用しますか? (y/N) y
(略)
コマンド> q

ただし信用度は、公開鍵の正当性を確認してから変更すべき。gpg のメッセージによると、「パスポートを見せてもらったり、他から得た指紋を検査したり、などなど」によって、正当性を確認できるとのこと。

改めて検証。警告がなくなった。

% gpg --verify emacs-23.1.tar.bz2.sig emacs-23.1.tar.bz2
gpg: 2009年07月30日 10時18分53秒 JSTにDSA鍵ID BC40251Cで施された署名
gpg: “Chong Yidong <[email protected]>”からの正しい署名

参考にしたページ
http://www.hyuki.com/gnu/gnupg-v12-readme.html#verify
http://www.usamimi.info/~pochi/linux/gnupg.html

追記(2009-08-16):
署名と検証するファイルが一致しない場合は、以下のようなメッセージが出力される。

% gpg --verify emacs-23.1.tar.bz2.sig emacs-22.3.tar.gz
gpg: 2009年07月30日 10時18分53秒 JSTにDSA鍵ID BC40251Cで施された署名
gpg: “Chong Yidong <[email protected]>”からの 不正な 署名