その言葉が真実かどうか問いつめてしまってよいかしら?
GPGMailというのは、AppleのMailからGnuPGを使えるようにしてくれるプラグインだ。インストールはとても簡単だから、すこしの寄り道を挟むことにする。GPGMailのページのDownloadという節にMac OS X 10.3用の(10.2用も)GPGMailのリンクがあるのでここからダウンロードする。
だけど、ちょっと待って。dmgへのリンクだけじゃなくて、またしても、Detached signatureってのがある。これはいったいなんだろう?(GnuPGのダウンロードのときにも、Detached Sigてのがあったはず。おぼえてる?)
このDetached Signatureってのは、ファイルが本物かどうかチェックするためのファイル。つまり、Detached Signatureを使って、どこかにひそんでる悪意を持った奴らがそのファイルを(ここでは、GPGMailのdmgファイルを)改竄してないかどうか確かめることができる。たとえば、誰かがこっそり、dmgファイルのなかにウイルスを仕込んだかもしれない(あくまでも例だよ)。
そういうことを確かめるために、まず、ファイルの作者の公開鍵を手に入れる必要がある。GPGMailのページにはちゃんと書いてある。
My key ID is 0x992020D4, and my key fingerprint is A5BA B3D8 4F6C AE03 8B22 76F2 5467 B616 9920 20D4
PGP Public Key Serverで、このキーIDを検索してみよう。さっきも出てきた、http://pgp.nic.ad.jp/pgp/ で「公開鍵の検索」を行えばいい。きっと、以下のページが表示されるだろう。
そこで、keyIDの列の下のリンクをクリックすれば、ファイルの作者の公開鍵を手に入れることができる。次は、ターミナルで以下のコマンドを実行して、
/usr/local/bin/pgp --import
そして、ブラウザに表示されている公開鍵の全文をコピーして、ターミナルに貼り付けてあげればいい(Ctrl-dで標準入力を終了させるのを忘れないこと)。こんなメッセージが表示されると思う。日本語化されたターミナルだと、アキュートのついてる部分で文字化けするかもしれないけれど、気にしないこと。
gpg: key 992020D4: public key "Stéphane Corthésy (Sen:te) <stephane@sente.ch>" imported gpg: Total number processed: 1 gpg: imported: 1
ここまでできたら、ファイルが本物かどうか確かめることができる。俺がダウンロードしたDetached Signatureは、10.3用のGPGMail-10.3.dmg.ascなので、
/usr/local/bin/pgp --verify GPGMail-10.3.dmg.asc
結果はこんな感じ。
gpg: Signature made Tue Nov 18 09:07:39 2003 JST using DSA key ID 992020D4 gpg: Good signature from "Stéphane Corthésy (Sen:te) <stephane@sente.ch>" gpg: aka "Stéphane Corthésy (GPGMail) <gpgmail@sente.ch>" gpg: aka "Stéphane Corthésy (davelopper) <davelopper@users.sourceforge.net>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: A5BA B3D8 4F6C AE03 8B22 76F2 5467 B616 9920 20D4
チェックできたら、dmgファイルをマウントして、 Install GPGMailを起動するだけ。ただし、その前にAppleのMailを終了させるのを忘れないこと。