Jak zweryfikować pobrany plik za pomocą pliku .sig?

Question

Kiedy pobieram GCC, ma on także plik .sig i wydaje mi się, że jest on przeznaczony do weryfikacji pobranego pliku. (Pobrałem GCC z here).

Ale nie rozumiem, jak powinienem z niego korzystać. Próbowałem gpg, ale skarży się na klucz publiczny.

[root@localhost src]# gpg --verify gcc-4.7.2.tar.gz.sig gcc-4.7.2.tar.gz 
gpg: Signature made Thu 20 Sep 2012 07:30:44 PM KST using DSA key ID C3C45C06 
gpg: Can't check signature: No public key 
[root@localhost src]# 

Jak mogę sprawdzić pobrany plik przy pomocy pliku .sig?

Answer 1

według tego http://gcc.gnu.org/mirrors.html, który powinien być Jakub Jelinek i ważny. nie wiem jednak, skąd wziąć swój klucz publiczny.

Answer 2

Ta druga droga jest szczególnie przydatna do weryfikacji projektów GNU (np. Octave), ponieważ klucz żądany przez ich podpis nie może być znaleziony na żadnym serwerze kluczy.

Od http://ftp.gnu.org/README

Istnieją również .sig pliki, które zawierają podpisy GPG oderwane od powyższe pliki, automatycznie podpisane przez tego samego skryptu, który generuje je.

Można zweryfikować podpisów dla GNU plików projektu z pliku z brelok :

https://ftp.gnu.org/gnu/gnu-keyring.gpg

w A katalogu z plikiem bazy, plik źródłowy w celu sprawdzenia i plik podpis, polecenie do użycia to:

$ gpg --verify --keyring ./gnu-keyring.gpg foo.tar.xz.sig

Answer 3

Musisz przeszukać publiczne serwery kluczy dla podanego identyfikatora klucza: w twoim przypadku ID C3C45C06 Zaimportuj znaleziony klucz do lokalnego magazynu kluczy, a po tym weryfikacja powinna być OK. Używam Ubuntu 12.04 i jest wyposażony w oprogramowanie do zarządzania kluczami Seahorse. Przed kluczowym importu widziałem to:

~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2 
gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784 
gpg: Can't check signature: public key not found 

Po kluczowego importu widziałem to:

~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2 
gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784 
gpg: Good signature from "Ruben Rodriguez (GNU IceCat releases key) <ruben@gnu.org>" 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg:   There is no indication that the signature belongs to the owner. 
Primary key fingerprint: A573 69A8 BABC 2542 B5A0 368C 3C76 EED7 D7E0 4784 

Answer 4

trzeba importować klucz publiczny: C3C45C06

można wykonać w trzech krokach .

1) znaleźć identyfikator klucza publicznego:

$ gpg gcc-4.7.2.tar.gz.sig 
gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06 
gpg: Can't check signature: No public key 

2) importować klucz publiczny z serwera kluczy. Zazwyczaj nie ma potrzeby wybierania głównego serwera, ale można to zrobić za pomocą --keyserver <server>.Keyserver examples.

$ gpg --recv-key C3C45C06 
gpg: requesting key C3C45C06 from hkp server keys.gnupg.net 
gpg: key C3C45C06: public key "Jakub Jelinek <jakub@redhat.com>" imported 
gpg: no ultimately trusted keys found 
gpg: Total number processed: 1 
gpg:    imported: 1 

3) zweryfikować podpis:

$ gpg gcc-4.7.2.tar.gz.sig 
gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06 
gpg: Good signature from "Jakub Jelinek <jakub@redhat.com>" [unknown] 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg:   There is no indication that the signature belongs to the owner. 
Primary key fingerprint: 33C2 35A3 4C46 AA3F FB29 3709 A328 C3A2 C3C4 5C06 

Wyjście powinno powiedzieć "Dobry podpis".

---

gpg: OSTRZEŻENIE: Ten klucz nie jest podpisany zaufanym podpisem!

Czy na inne pytanie;)