Gpg

如何使用 asc 簽名文件驗證文件?

  • December 9, 2020

例如,這個項目提供了一個*.asc帶有 PGP 簽名的文件來驗證下載的內容(與校驗和相反,你可以看到空列):https ://ossec.github.io/downloads.html

我將如何使用這個文件?我嘗試gpg --verify了其他變體,但它似乎將名稱與文件匹配,但是下載的文件名並不完全相同……不確定它應該如何工作。

  • 下載密鑰文件:
wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
  • 檢查密鑰文件以確認它EE1B0E6B2D8387B7的 keyid。
gpg --keyid-format long --list-options show-keyring OSSEC-ARCHIVE-KEY.asc
  • 如果正確,則導入密鑰:
gpg --import OSSEC-ARCHIVE-KEY.asc
  • 下載軟體包
wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
  • 下載簽名文件
https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc
  • 驗證它
gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz

輸出

gpg: Signature made Sat Dec 23 16:13:01 2017 UTC
gpg:                using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <scott@atomicorp.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0  5FAD EE1B 0E6B 2D83 87B7

引用自:https://serverfault.com/questions/896228