Как проверить файл, используя файл подписи asc?

15

Например, этот проект предлагает *.ascфайл с подписью PGP для проверки содержимого загрузки (в отличие от контрольной суммы, вы можете увидеть пустой столбец): https://ossec.github.io/downloads.html

Как бы я использовал этот файл? Я пробовал gpg --verifyи другие варианты, но похоже, что имя совпадает с именем файла, однако имя файла при его загрузке не совсем то же самое ... не уверен, как это должно работать.

user8897013
источник

Ответы:

16
  • Загрузите файл ключа:
wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
  • Проверьте файл ключа, чтобы подтвердить, что он имеет в EE1B0E6B2D8387B7качестве своего ключа.
gpg --keyid-format long --list-options show-keyring OSSEC-ARCHIVE-KEY.asc
  • Если правильно, импортируйте ключ:
gpg --import OSSEC-ARCHIVE-KEY.asc
  • Скачать пакет программного обеспечения
wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
  • Скачать файл подписи
https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc
  • Проверьте это
gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz

Вывод

gpg: Signature made Sat Dec 23 16:13:01 2017 UTC
gpg:                using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <scott@atomicorp.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0  5FAD EE1B 0E6B 2D83 87B7
Евгений Новиков
источник
1
Похоже, что параметр --verify ожидает файл подписи
niahoo
Я получаюgpg: WARNING: "--show-keyring" is a deprecated option gpg: please use "--list-options show-keyring" instead
Дэн Dascalescu