Comment vérifier le fichier téléchargé avec le fichier .sig?
Lorsque je télécharge GCC, il a également un .sig fichier, et je pense qu'il est fourni pour vérifier le fichier téléchargé. (J'ai téléchargé GCC depuis ici ).
Mais je n'arrive pas à comprendre comment dois-je l'utiliser. J'ai essayé gpg, mais il se plaint de la clé publique.
[root@localhost src]# gpg --verify gcc-4.7.2.tar.gz.sig gcc-4.7.2.tar.gz
gpg: Signature made Thu 20 Sep 2012 07:30:44 PM KST using DSA key ID C3C45C06
gpg: Can't check signature: No public key
[root@localhost src]#
Comment puis-je vérifier le fichier téléchargé avec .sig fichier?
Vous devez importer la clé publique: C3C45C06
Peut se faire en trois étapes.
1) trouver l'ID de la clé publique:
$ gpg gcc-4.7.2.tar.gz.sig
gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06
gpg: Can't check signature: No public key
2) importez la clé publique du serveur de clés. Il n'est généralement pas nécessaire de choisir le serveur clé, mais cela peut être fait avec --keyserver <server>. exemples de Keyserver.
$ gpg --recv-key C3C45C06
gpg: requesting key C3C45C06 from hkp server keys.gnupg.net
gpg: key C3C45C06: public key "Jakub Jelinek <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
3) vérifier la signature:
$ gpg gcc-4.7.2.tar.gz.sig
gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06
gpg: Good signature from "Jakub Jelinek <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 33C2 35A3 4C46 AA3F FB29 3709 A328 C3A2 C3C4 5C06
La sortie doit indiquer "Bonne signature".
gpg: ATTENTION: Cette clé n'est pas certifiée avec une signature de confiance!
Est pour une autre question;)
Cette autre avenue est particulièrement utile pour vérifier les projets GNU (par exemple Octave ) car la clé demandée par leur signature peut ne pas être trouvée dans aucun serveur de clés.
Il existe également des fichiers .sig, qui contiennent des signatures GPG détachées des fichiers ci-dessus, automatiquement signés par le même script qui les génère.
Vous pouvez vérifier les signatures des fichiers de projet GNU avec le fichier de clés à partir de:
https://ftp.gnu.org/gnu/gnu-keyring.gpg
Dans un répertoire avec le fichier de clés, le fichier source à vérifier et le fichier de signature , la commande à utiliser est:
$ gpg --verify --keyring ./gnu-keyring.gpg foo.tar.xz.sig
Vous devez rechercher les serveurs de clés publics pour l'identifiant de clé donné: dans votre cas ID C3C45C06 Importez la clé trouvée dans votre magasin de clés local et après cela, la vérification devrait être OK. J'utilise Ubuntu 12.04 et il est livré avec le logiciel de gestion de clés Seahorse. Avant l'importation des clés, je voyais ceci:
~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2
gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784
gpg: Can't check signature: public key not found
Après l'importation des clés, je voyais ceci:
~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2
gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784
gpg: Good signature from "Ruben Rodriguez (GNU IceCat releases key) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: A573 69A8 BABC 2542 B5A0 368C 3C76 EED7 D7E0 4784
selon cela http://gcc.gnu.org/mirrors.html qui devrait être Jakub Jelinek et valide. Je ne sais pas où vous obtiendrez sa clé publique.