那些遇到过的问题

在没有 .sig 或 .asc 文件的情况下使用 GPG 验证文件?

eth*_*ice 5 pgp gnupg

根据我对 PGP/GPG 的有限了解,必须有两件事来验证文件:

  • 文件的“签名”(本质上是使用受信任实体的私钥加密的文件的散列;通常作为.sig二进制文件或.ascbase64 文件分发)。

  • 受信任实体的公钥。

它似乎与我使用gpg. 但是,当我尝试验证从 GCC 的镜像站点之一下载的文件时,我有点困惑。在镜像站点列表页面 ( http://gcc.gnu.org/mirrors.html ) 上,它说:

档案(托管在这些镜像上)将由以下 GnuPG 密钥之一签名:

然后它列出了 6 个可能的键:

1024D/745C015A 1999-11-09 Gerald Pfeifer <gerald@pfeifer.com>
Key fingerprint = B215 C163 3BCA 0477 615F 1B35 A5B3 A004 745C 015A

1024D/B75C61B8 2003-04-10 Mark Mitchell <mark@codesourcery.com>
Key fingerprint = B3C4 2148 A44E 6983 B3E4 CC07 93FA 9B1A B75C 61B8

1024D/902C9419 2004-12-06 Gabriel Dos Reis <gdr@acm.org>
Key fingerprint = 90AA 4704 69D3 965A 87A5 DCB4 94D0 3953 902C 9419

1024D/F71EDF1C 2000-02-13 Joseph Samuel Myers <jsm@polyomino.org.uk>
Key fingerprint = 80F9 8B2E 0DAB 6C82 81BD F541 A7C8 C3B2 F71E DF1C

2048R/FC26A641 2005-09-13 Richard Guenther <richard.guenther@gmail.com>
Key fingerprint = 7F74 F97C 1034 68EE 5D75 0B58 3AB0 0996 FC26 A641

1024D/C3C45C06 2004-04-21 Jakub Jelinek <jakub@redhat.com>
Key fingerprint = 33C2 35A3 4C46 AA3F FB29 3709 A328 C3A2 C3C4 5C06
Run Code Online (Sandbox Code Playgroud)

它提供的只是那些密钥 ID 和指纹(不是实际的密钥本身),页面上(或任何镜像,甚至 4.8.0 tarball 中)都没有.sig/.asc签名文件。

我的问题:我应该如何在没有签名文件且不了解公众的情况下验证这个 tarball(http://gcc.petsads.us/releases/gcc-4.8.0/gcc-4.8.0.tar.gz)密钥,或者不知道 6 个密钥中的哪一个可能已用于对文件进行签名?对GPG有更多了解的人能否解释一下验证此文件的最简单方法?

eth*_*ice 9

从 GNU/GCC 团队收到了关于此的解释,由于文件复制到镜像服务器时出错,.sig 文件丢失。来自团队:

有趣的是,.sig 文件仅在 GNU 服务器上(例如,http : //ftp.gnu.org/gnu/gcc/gcc-4.8.0/)而不在 GCC 服务器上(例如,ftp://gcc .gnu.org/pub/gcc/releases/gcc-4.8.0/)。由于后者由镜子使用,因此它在镜子上也不可用。

我按照他们的建议在 GNU 服务器上找到了 .sig 文件,但后来不得不再挖掘一些才能找到实际验证签名所需的“GNU 密钥环文件”。总而言之,验证过程是:

$ wget http://www.netgull.com/gcc/releases/gcc-4.8.0/gcc-4.8.0.tar.gz
$ wget http://ftp.gnu.org/gnu/gcc/gcc-4.8.0/gcc-4.8.0.tar.gz.sig
$ wget ftp://ftp.gnu.org/gnu/gnu-keyring.gpg
$ gpg --verify --keyring ./gnu-keyring.gpg ./gcc-4.8.0.tar.gz.sig

gpg: Signature made Fri 22 Mar 2013 08:32:29 AM CDT using DSA key ID C3C45C06
gpg: Good signature from "Jakub Jelinek <jakub@redhat.com>"
gpg: Note: This key has expired!
Primary key fingerprint: 33C2 35A3 4C46 AA3F FB29  3709 A328 C3A2 C3C4 5C06
Run Code Online (Sandbox Code Playgroud)

希望这有助于其他任何人尝试验证从 GCC 的镜像站点之一下载的 tarball。

  • 您应该考虑对这些 wget 命令使用 HTTPS (2认同)

归档时间:

查看次数:

9805 次

最近记录:

9 年,1 月 前
相关归档
使用 GnuPG 解密文件时如何指定私钥? 34
从装甲 gpg 公钥文件中获取信息 22
我在一封电子邮件中附上了“BEGIN PGP PUBLIC KEY BLOCK”,但我不知道它是什么 19
如何在脚本中使用 gpg --gen-key? 15
cygwin 是否有 gpg 代理? 12
从 gnupg 中的密钥服务器接收密钥 11
如何防止 gpg-agent 在密码收集期间超时? 7
双重还原失败:没有密钥 6
pgp:使用子密钥签名,但我应该公开我的主密钥和子密钥的指纹吗? 5
如何检查 GPG 加密文件是否使用特定公钥加密? 5
难疑归档
如何清除/刷新 Google Chrome 中的 DNS 缓存? 1011
Windows 是否有任何“sudo”命令? 487
阻止 MS Word 选择比我想要的更多 235
有没有办法在终端中显示倒计时或秒表计时器? 207
如何批量重命名文件? 134
我应该对我的 SSD 进行碎片整理吗? 128
在 Windows PowerShell 中复制和粘贴 122
带连字符和不带连字符的“su”有什么区别? 107
Windows 8 的“N”版本是什么? 102
32 位操作系统机器可以用完所有 8GB RAM + 20GB 页面文件吗? 100