Come verificare un file usando un file di firma asc?

15

Ad esempio, questo progetto offre un *.ascfile con una firma PGP per verificare il contenuto del download (al contrario di un checksum, puoi vedere la colonna vuota): https://ossec.github.io/downloads.html

Come dovrei usare questo file? Ho provato gpg --verifye altre varianti, ma sembra corrispondere al nome del file, tuttavia il nome del file scaricato non è esattamente lo stesso ... non sono sicuro di come dovrebbe funzionare.

gpg  checksum  pgp  digital-signatures 
user8897013
fonte

Risposte:

16
  • Scarica il file chiave:
wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
  • Ispeziona il file chiave per confermare che ha EE1B0E6B2D8387B7come keyid.
gpg --keyid-format long --list-options show-keyring OSSEC-ARCHIVE-KEY.asc
  • Se corretto, quindi importare la chiave:
gpg --import OSSEC-ARCHIVE-KEY.asc
  • Scarica il pacchetto software
wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
  • Scarica il file della firma
https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc
  • Verificalo
gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz

Produzione

gpg: Signature made Sat Dec 23 16:13:01 2017 UTC
gpg:                using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <scott@atomicorp.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0  5FAD EE1B 0E6B 2D83 87B7
Евгений Новиков
fonte
1
Sembra che l'opzione --verify si aspetti il ​​file della firma
niahoo il
Ricevogpg: WARNING: "--show-keyring" is a deprecated option gpg: please use "--list-options show-keyring" instead
Dan Dascalescu
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.