shell - significado - ¿Cómo verificar el archivo descargado con el archivo.sig?
pdf esig (4)
Esta otra vía es particularmente útil para verificar proyectos GNU (por ejemplo, Octave ) ya que la clave solicitada por su firma puede no encontrarse en ningún servidor clave.
También hay archivos .sig, que contienen firmas GPG separadas de los archivos anteriores, firmadas automáticamente por el mismo script que las genera.
Puede verificar las firmas de los archivos de proyecto GNU con el archivo de conjunto de claves desde:
https://ftp.gnu.org/gnu/gnu-keyring.gpg
En un directorio con el archivo de conjunto de claves, el archivo de origen para verificar y el archivo de firma , el comando a usar es:
$ gpg --verify --keyring ./gnu-keyring.gpg foo.tar.xz.sig
Cuando descargo GCC, también tiene un archivo .sig
y creo que se proporciona para verificar el archivo descargado. (Descargué GCC desde here ).
Pero no puedo entender cómo debo usarlo. Intenté gpg
, pero se queja de clave pública.
[root@localhost src]# gpg --verify gcc-4.7.2.tar.gz.sig gcc-4.7.2.tar.gz
gpg: Signature made Thu 20 Sep 2012 07:30:44 PM KST using DSA key ID C3C45C06
gpg: Can''t check signature: No public key
[root@localhost src]#
¿Cómo puedo verificar el archivo descargado con el archivo .sig
?
Necesitas importar clave pública: C3C45C06
Se puede hacer en tres pasos.
1) encontrar la identificación de la clave pública:
$ gpg gcc-4.7.2.tar.gz.sig
gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06
gpg: Can''t check signature: No public key
2) importar la clave pública del servidor de claves. Generalmente no es necesario elegir el servidor de claves, pero se puede hacer con --keyserver <server>
. Ejemplos de servidor de claves.
$ gpg --recv-key C3C45C06
gpg: requesting key C3C45C06 from hkp server keys.gnupg.net
gpg: key C3C45C06: public key "Jakub Jelinek <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
3) verificar firma:
$ gpg gcc-4.7.2.tar.gz.sig
gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06
gpg: Good signature from "Jakub Jelinek <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 33C2 35A3 4C46 AA3F FB29 3709 A328 C3A2 C3C4 5C06
La salida debe decir "Buena firma".
gpg: ADVERTENCIA: ¡Esta clave no está certificada con una firma de confianza!
Es para otra pregunta;)
Tiene que buscar en los servidores de claves públicos para la identificación de clave dada: en su ID C3C45C06
caso ID C3C45C06
Importe la clave encontrada en su almacén de claves local y después de esto, la verificación debería estar bien. Utilizo Ubuntu 12.04 y viene con el software de administración de claves Seahorse. Antes de la importación de claves estaba viendo esto:
~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2
gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784
gpg: Can''t check signature: public key not found
Después de la importación de claves estaba viendo esto:
~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2
gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784
gpg: Good signature from "Ruben Rodriguez (GNU IceCat releases key) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: A573 69A8 BABC 2542 B5A0 368C 3C76 EED7 D7E0 4784
de acuerdo con este http://gcc.gnu.org/mirrors.html que debe ser Jakub Jelinek y válido. Aunque no sé de dónde sacaría su clave pública.