Bagaimana cara memverifikasi file menggunakan file tanda tangan asc?


15

Sebagai contoh, proyek ini menawarkan *.ascfile dengan tanda tangan PGP untuk memverifikasi konten unduhan (sebagai lawan dari checksum, Anda dapat melihat kolom kosong): https://ossec.github.io/downloads.html

Bagaimana saya menggunakan file ini? Saya mencoba gpg --verifydan varian lainnya, tetapi tampaknya cocok dengan nama hingga file, namun nama file yang diunduh tidak persis sama ... tidak yakin bagaimana seharusnya bekerja.

Jawaban:


16
  • Unduh file kunci:
wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
  • Periksa file kunci untuk mengonfirmasi file tersebut EE1B0E6B2D8387B7sebagai keyid-nya.
gpg --keyid-format long --list-options show-keyring OSSEC-ARCHIVE-KEY.asc
  • Jika benar, maka impor kunci:
gpg --import OSSEC-ARCHIVE-KEY.asc
  • Unduh paket perangkat lunak
wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
  • Unduh file tanda tangan
https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc
  • Verifikasi itu
gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz

Keluaran

gpg: Signature made Sat Dec 23 16:13:01 2017 UTC
gpg:                using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <scott@atomicorp.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0  5FAD EE1B 0E6B 2D83 87B7

1
Tampaknya opsi --verify mengharapkan file tanda tangan
niahoo

Saya dapatkangpg: WARNING: "--show-keyring" is a deprecated option gpg: please use "--list-options show-keyring" instead
Dan Dascalescu
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.