根据我对 PGP/GPG 的有限了解,必须有两件事来验证文件:
文件的“签名”(本质上是使用受信任实体的私钥加密的文件的散列;通常作为.sig二进制文件或.ascbase64 文件分发)。
受信任实体的公钥。
它似乎与我使用gpg. 但是,当我尝试验证从 GCC 的镜像站点之一下载的文件时,我有点困惑。在镜像站点列表页面 ( http://gcc.gnu.org/mirrors.html ) 上,它说:
档案(托管在这些镜像上)将由以下 GnuPG 密钥之一签名:
然后它列出了 6 个可能的键:
1024D/745C015A 1999-11-09 Gerald Pfeifer <gerald@pfeifer.com>
Key fingerprint = B215 C163 3BCA 0477 615F 1B35 A5B3 A004 745C 015A
1024D/B75C61B8 2003-04-10 Mark Mitchell <mark@codesourcery.com>
Key fingerprint = B3C4 2148 A44E 6983 B3E4 CC07 93FA 9B1A B75C 61B8
1024D/902C9419 2004-12-06 Gabriel Dos Reis <gdr@acm.org>
Key fingerprint = 90AA 4704 69D3 965A 87A5 DCB4 94D0 3953 902C …