home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / alt / test / 19179 < prev    next >
Encoding:
Text File  |  1993-01-24  |  3.5 KB  |  99 lines
  1. Newsgroups: alt.test
  2. Path: sparky!uunet!ferkel.ucsb.edu!taco!rock!stanford.edu!ames!haven.umd.edu!darwin.sura.net!newsserver.jvnc.net!yale.edu!ira.uka.de!math.fu-berlin.de!mailgzrz.TU-Berlin.DE!news.netmbx.de!Germany.EU.net!mcsun!sunic!kth.se!kth.se!laszlo
  3. From: laszlo@kth.se (Laszlo Baranyi)
  4. Subject: signed archives
  5. Message-ID: <1993Jan24.171301.6432@kth.se>
  6. Sender: usenet@kth.se (Usenet)
  7. Nntp-Posting-Host: kth.se
  8. Reply-To: laszlo@kth.se (Laszlo Baranyi)
  9. Organization: Royal Institute of Technology, Stockholm, Sweden
  10. Date: Sun, 24 Jan 1993 17:13:01 GMT
  11. Lines: 86
  12.  
  13. Newsgroups:alt.test
  14. Subject:signed archives
  15.  
  16.  
  17. How i use pgp to sign ZIP-files
  18.  
  19. The main idea:
  20. No need to get programs from trusted sources. Get the 
  21. distributors public key instead. (BBS/ftp sites)
  22.  
  23. benefits:
  24.     
  25.     Most BBSs routinely scans incomming files for viruses
  26.     before moving them to the download area. If they also signs
  27.     the output of the antivirusprogram, and the checksums from
  28.     PKZIP, the signature allows the unpacker to verify who is 
  29.     responsible for the archives integrity.
  30.  
  31.     A swedish lawproosal gives a virusspreader up to 6 (six) years
  32.     By signing the file, the sysop is guarded since he can proof that
  33.     the antivirusprogram failed to detect the virus.    
  34.  
  35.     A file can be signed by several BBSes as it 
  36.     comes in their way. The first signature is called 0SIGNED.ZIP.
  37.     The next BBS that wants to sign, adds his signature in 
  38.     1SIGNED.ZIP, and so on. An archive can thus be signed by 100 
  39.     signatures.
  40.  
  41.     No uppdate costs to verify theese once signed files.
  42.     It is also protected against any future versions of 
  43.     viruses. 
  44.     
  45.     If the file _does_ contain a virus, then you know how
  46.     it was spread, and it might even be possible to trace the real
  47.     source through the attached timestamped signatures. 
  48.  
  49.     The signature is ZIP:ed into the original archive,
  50.     and is verifyed before the real unpacking.
  51.     
  52.     The only thing that differs a signed archive from a normal one,
  53.     is an included file, 0SIGNED.ZIP, so users who dont care about 
  54.     theese thing, just unpacks in usaual way.
  55.  
  56. One way for BBS:es to spread thir public key could be the nodelist.
  57. But that would i guess be a to big change and size of the nodelist.
  58.  
  59. --
  60. the method to sign:
  61.  
  62.  
  63. *    Make a Zip archive as usual, here called ORIGINAL.ZIP
  64. *    Create an report wich includes the CRC checksums of the
  65.     archive, and sign it.
  66.     PKZIP -vn ORIGINAL.ZIP >ZIPCRC.TXT
  67.     PGP -sta +clearsig=on ZIPCRC.TXT -u my_name
  68. *    A preprepared signed textfile, ID_MSG.ASC, contains info
  69.     about where your public key and pgp can be fetched.
  70.     ZIP it together with the checksumreport.
  71.     PKZIP -a 0SIGNED.ZIP ZIPCRC.ASC ID_MSG.ASC
  72. *    Move the signature into the original archive
  73.     PKZIP -a ORIGINAL.ZIP 0SIGNED.ZIP
  74.      
  75. To verify archive signature:
  76.  
  77. *    move out the ZIP:ed signature file from archive
  78.     PKUNZIP ORIGINAL.ZIP 0signed.zip
  79.     PKZIP -d ORIGINAL.ZIP 0signed.zip
  80. *    Let PKZIP create a new checksums report of the original
  81.     archive
  82.     PKZIP -vn ORIGINAL.ZIP >zipcrc.tmp
  83. *    copy out the signed checksum from 0SIGNED.ZIP
  84.     PKUNZIP 0signed.zip zipcrc.asc
  85. *    compare for equality
  86.     comp zipcrc.tmp zipcrc
  87.  
  88.  
  89. Also, i include information and BAT-files in the archive to make
  90. it easier for the signer/unpacker. (Mail me for theese)
  91.  
  92. I dont include my public key in the archive, since it would
  93. more difficult to revoke it. (unpackers are too lazy to doublecheck
  94. the validity of the public key) But thoose who wants to take the 
  95. chance, do so.
  96.  
  97. I have looked at the pgp packer, hpack78. But what is it's 
  98. advantages over mixing, like above, with pgp and ZIP ?
  99.