如何检测Linux系统已下载文件的完整性(2)

　　SHA1校验

　　原理： 原理同MD5一样，都是通过对文件进行HASH求值，比对文件发布者发布的HASH值，通过是否相等判断文件是否被篡改

　　说明： SHA1 HASH求值方法可以说是MD5的一个升级版本（SHA1 20位，MD5 16位），在HASH求值方面，MD5退出的舞台将有SHA1占据。SHA家族有五个算法：SHA-1、SHA-224、SHA-256、SHA-384，和SHA-512，后四种有时候称为SHA2

　　使用： CentOS有SHA1的命令： sha1sum

　　代码如下：

　　# 说明同上

　　# 直接输出SHA1 Hash

　　$ sha1sum your-downloaded-file-name

　　12dc96cbd822598c1230c87622f3591461a77227 your-downloaded-file-name《/p》 《p》# 将SHA1 Hash值保存到文件中

　　$ sha1sum your-downloaded-file-name 》 sha1-hash.txt

　　# 显示文件内容

　　$ cat sha1-hash.txt

　　12dc96cbd822598c1230c87622f3591461a77227 your-downloaded-file-name《/p》 《p》#通过sha1-hash.txt来校验我们下载的文件your-downloaded-file-name

　　# 注意，文件必须要要通过txt文件中的路径知道哦

　　$ sha1sum -c sha1-hash.txt

　　your-downloaded-file-name： OK

　　这个SHA1和MD5基本一致，需要补充说明下的是，在使用 md5sum 也好，还是 sha1sum 也罢，校验文件的时候，务必要让系统能够根据文件中提供的路径找到文件，如果文件找不到，是没有办法进行校验的。

　　如果是做多个文件的Hash校验，可以通过一个文件保存多个文件的Hash值即可。

　　PGP校验

　　原理：使用非对称加密，程序生成唯一的密钥对（公钥和私钥：Public Key和Private Key/Secret Key）。操作方法如下：

　　1.发布者通过用生成的密钥对中的私钥对要发布的文件进行签名，得到签名文件（sign）；

　　2.发布者将密钥对中的公钥发布到公钥服务器；

　　3.发布者将文件和用私钥生成的签名一起发布；

　　4.验证者下载发布者发布的文件和签名；

　　5.使用PGP的程序获取的发布者第二步发布的公钥；

　　6.使用公钥校验文件签名

　　说明：签名算法中，密钥的用处分别是：公钥用于加密信息和验证，私钥用于解密和签名。私钥掌握在信息发布方，公钥可以任意分发。信息发布方用密钥进行对信息进行签名，接收方在获取公钥后，可以用公钥对发布方发布的信息+签名进行验证。如果验证失败则认为信息被篡改。在网络中，我们经常碰到的HTTPS协议，使用了同样的机制。

　　使用：由于PGP是商业应用程序，在CentOS/Linux中，具有同类功能的是GPG（也就是：GnuPG），同样遵守OpenPGP数据加密标准（ RFC 4880 ），没有安装可以用 yum install gnupg 安装，命令是： gpg

　　代码如下：

　　# 说明同上

　　# 由于过程相对复杂，并且在实际使用中，校验用的比较多，因此这里只介绍文件的校验过程。

　　# 在获得文件和签名时，我们先用gpg校验签名，此时文件必须存在

　　$ gpg --verify downloaded-file-sign.asc