Cách xác minh tệp đã tải xuống bằng tệp .sig?

Question

Khi tôi tải xuống GCC, nó cũng có tệp .sig và tôi cho rằng tệp đó được cung cấp để xác minh tệp đã tải xuống. (Tôi đã tải xuống GCC từ here).

Nhưng tôi không thể tìm ra cách tôi nên sử dụng nó. Tôi đã thử gpg, nhưng nó phàn nàn về khóa công khai.

[root@localhost src]# gpg --verify gcc-4.7.2.tar.gz.sig gcc-4.7.2.tar.gz 
gpg: Signature made Thu 20 Sep 2012 07:30:44 PM KST using DSA key ID C3C45C06 
gpg: Can't check signature: No public key 
[root@localhost src]# 

Tôi làm cách nào để xác minh tệp đã tải xuống với tệp .sig?

Answer 1

theo điều này http://gcc.gnu.org/mirrors.html phải là Jakub Jelinek và hợp lệ. tôi không biết bạn sẽ lấy chìa khóa công khai của mình ở đâu.

Answer 2

Đại lộ khác này đặc biệt hữu ích để xác minh các dự án GNU (ví dụ: Octave) vì khóa được yêu cầu bởi chữ ký của chúng có thể không được tìm thấy trong bất kỳ máy chủ khóa nào.

Từ http://ftp.gnu.org/README

Ngoài ra còn có các file .sig, mà chứa tách chữ ký GPG của các tập tin trên, tự động đăng nhập bằng cùng một kịch bản mà tạo ra chúng.

Bạn có thể xác minh chữ ký cho các tập tin dự án gnu với file keyring từ:

https://ftp.gnu.org/gnu/gnu-keyring.gpg

Trong một thư mục với file keyring, file nguồn để xác minh và tập tin chữ ký, lệnh sử dụng là:

$ gpg --verify --keyring ./gnu-keyring.gpg foo.tar.xz.sig

Answer 3

Bạn phải tìm kiếm công cụ khóa công khai cho id khóa đã cho: trong trường hợp của bạn ID C3C45C06 Nhập khóa được tìm thấy trong kho khóa địa phương của bạn và sau đó xác minh sẽ là OK. Tôi sử dụng Ubuntu 12.04 và nó đi kèm với phần mềm quản lý khóa Seahorse. Trước khi nhập khẩu chủ chốt Tôi đã nhìn thấy điều này:

~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2 
gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784 
gpg: Can't check signature: public key not found 

Sau khi nhập khẩu chủ chốt Tôi đã nhìn thấy điều này:

~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2 
gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784 
gpg: Good signature from "Ruben Rodriguez (GNU IceCat releases key) <ruben@gnu.org>" 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg:   There is no indication that the signature belongs to the owner. 
Primary key fingerprint: A573 69A8 BABC 2542 B5A0 368C 3C76 EED7 D7E0 4784 

Answer 4

Bạn cần phải nhập khóa công khai: C3C45C06

có thể được thực hiện trong ba bước .

1) tìm công then chốt ID:

$ gpg gcc-4.7.2.tar.gz.sig 
gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06 
gpg: Can't check signature: No public key 

2) nhập khóa công khai từ máy chủ chính. Nó thường không cần thiết để chọn máy chủ khóa, nhưng nó có thể được thực hiện với --keyserver <server>.Keyserver examples.

$ gpg --recv-key C3C45C06 
gpg: requesting key C3C45C06 from hkp server keys.gnupg.net 
gpg: key C3C45C06: public key "Jakub Jelinek <jakub@redhat.com>" imported 
gpg: no ultimately trusted keys found 
gpg: Total number processed: 1 
gpg:    imported: 1 

3) xác minh chữ ký:

$ gpg gcc-4.7.2.tar.gz.sig 
gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06 
gpg: Good signature from "Jakub Jelinek <jakub@redhat.com>" [unknown] 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg:   There is no indication that the signature belongs to the owner. 
Primary key fingerprint: 33C2 35A3 4C46 AA3F FB29 3709 A328 C3A2 C3C4 5C06 

Sản lượng nên nói "Good chữ ký".

---

gpg: CẢNH BÁO: Phím này không được chứng nhận bằng chữ ký đáng tin cậy!

là cho một câu hỏi khác;)