openpgp - software - pgp linux

Clave de la firma del archivo TarBall de PGP La verificación falla y no se encuentran datos válidos de OpenPGP (2)

A veces, read palabras como estas: "Es esencial que verifique la integridad de los archivos descargados utilizando las firmas PGP o MD5 [...] utilizando los siguientes comandos [...]".

gpg --import KEYS gpg --verify <software-bundle>.asc

Usted sabe que debe hacer. Y sin leer todo, puede pensar: dos comandos, uno para adjuntar el archivo de firma y otro para verificar el software descargado. No lo es.

KEYS no hace referencia al archivo asc descargado, sino a un archivo especial llamado KEYS que debe descargar por separado. Vea el paso "Descargar KEYS". El enlace no apunta al archivo asc como podría pensar. Apunta a otra cosa. Estas LLAVES son necesarias para verificar la integridad del propio archivo asc. El segundo comando parece realizar ambas comprobaciones entonces. Verifica el archivo asc dado como parámetro (usando las claves importadas), pero si intentas ejecutarlo en el archivo asc independiente, dice:

gpg: no signed data gpg: can''t hash datafile: No data

Así que creo que también verifica la integridad del software, que se espera sea un archivo con el mismo nombre, excepto el archivo .asc en el mismo directorio. (Pero no encontré una prueba de que esto sea verdad a estas alturas).