Поширеним методом є створення окремого підпису у .sig
файлі (зазвичай підпис PGP за допомогою gpg -b
- X.509 дуже рідко) та надання обох файлів в одному місці. Наприклад:
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2
ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-2.0.19.tar.bz2.sig
Це можна використовувати з будь-яким файлом, але користувачеві доведеться перевірити підпис вручну, використовуючи gpg --verify
.
На жаль, серед тих, хто зараз використовується, жоден архівний формат (про який я знаю) не підтримує вбудовані підписи за допомогою PGP або X.509. (Це виключає CAB, який використовується Windows внутрішньо, але практично ніде більше, і підписати досить складно). WinRAR 4 зміг додати запис "перевірки автентичності", використовуючи власний формат, але він використовує вашу ліцензію WinRAR як ключ підпису, який не раз тріскався. (Оновлення. Ця функція була видалена з WinRAR 5 через незахищеність.)
У Windows (а незабаром і Mac OS X) можливо створити "саморозпаковуваний архів" - виконуваний цифровим підписом файл, який витягує архів зсередини - ось, наприклад, працюють інсталятори програмного забезпечення в Windows. Однак SFX обмежені однією операційною системою, тому вони підходять лише для розповсюдження програм , а не документів або зображень. (Програми Java можуть бути підписані та є платформними, але деякі системи все ще мають час виконання Java.)