Comment vérifier fichier téléchargé avec.fichier de sig?
quand je télécharge GCC, il a aussi un fichier .sig , et je pense qu'il est fourni pour vérifier le fichier téléchargé.
(J'ai téléchargé GCC de ici ).
mais je ne sais pas comment l'utiliser. J'ai essayé gpg , mais il se plaint de la clé publique.
[root@localhost src]# gpg --verify gcc-4.7.2.tar.gz.sig gcc-4.7.2.tar.gz
gpg: Signature made Thu 20 Sep 2012 07:30:44 PM KST using DSA key ID C3C45C06
gpg: Can't check signature: No public key
[root@localhost src]#
Comment puis-je vérifier le fichier téléchargé avec le fichier .sig ?
4 réponses
vous devez importer la clé publique: C3C45C06
peut être fait en trois étapes.
1) trouver la clé publique ID:
$ gpg gcc-4.7.2.tar.gz.sig
gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06
gpg: Can't check signature: No public key
2) Importer la clé publique à partir du serveur de clés. Il n'est généralement pas nécessaire de choisir key server, mais il peut être fait avec --keyserver <server> . Keyserver examples.
$ gpg --recv-key C3C45C06
gpg: requesting key C3C45C06 from hkp server keys.gnupg.net
gpg: key C3C45C06: public key "Jakub Jelinek <jakub@redhat.com>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
3) vérifier la signature:
$ gpg gcc-4.7.2.tar.gz.sig
gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06
gpg: Good signature from "Jakub Jelinek <jakub@redhat.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 33C2 35A3 4C46 AA3F FB29 3709 A328 C3A2 C3C4 5C06
la sortie devrait dire "Bonne signature".
gpg: attention: cette clé n'est pas certifiée avec une signature de confiance!
Est une autre question ;)
cette autre avenue est particulièrement utile pour vérifier les projets GNU (par exemple Octave ) puisque la clé demandée par leur signature ne peut être trouvée dans aucun serveur de clés.
Il ya aussi .les fichiers sig, qui contiennent des signatures GPG détachées de les fichiers ci-dessus, automatiquement signé par le même script que les génère.
vous pouvez vérifier les signatures pour les fichiers du projet gnu avec le porte-clés fichier de:
https://ftp.gnu.org/gnu/gnu-keyring.gpg
dans un répertoire avec le fichier keyring, le fichier source à vérifier et le fichier de signature , la commande à utiliser est:
$ gpg --verify --keyring ./gnu-keyring.gpg foo.tar.xz.sig
selon ce http://gcc.gnu.org/mirrors.html qui devrait être Jakub Jelinek et valide. je ne sais pas où vous l'obtenir sa clé publique.
vous devez rechercher les claviers publics pour la clé d'identification donnée: dans votre cas ID C3C45C06
Importez la clé trouvée dans votre keystore local et après cela la vérification devrait être OK.
J'utilise Ubuntu 12.04 et il est livré avec Seahorse key logiciel de gestion. Avant l'importation clé je voyais ceci:
~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2
gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784
gpg: Can't check signature: public key not found
après l'importation clé je voyais ceci:
~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2
gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784
gpg: Good signature from "Ruben Rodriguez (GNU IceCat releases key) <ruben@gnu.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: A573 69A8 BABC 2542 B5A0 368C 3C76 EED7 D7E0 4784