Gpg
如何使用 asc 簽名文件驗證文件?
例如,這個項目提供了一個
*.asc
帶有 PGP 簽名的文件來驗證下載的內容(與校驗和相反,你可以看到空列):https ://ossec.github.io/downloads.html我將如何使用這個文件?我嘗試
gpg --verify
了其他變體,但它似乎將名稱與文件匹配,但是下載的文件名並不完全相同……不確定它應該如何工作。
- 下載密鑰文件:
wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
- 檢查密鑰文件以確認它
EE1B0E6B2D8387B7
的 keyid。gpg --keyid-format long --list-options show-keyring OSSEC-ARCHIVE-KEY.asc
- 如果正確,則導入密鑰:
gpg --import OSSEC-ARCHIVE-KEY.asc
- 下載軟體包
wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
- 下載簽名文件
https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc
- 驗證它
gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz
輸出
gpg: Signature made Sat Dec 23 16:13:01 2017 UTC gpg: using RSA key EE1B0E6B2D8387B7 gpg: Good signature from "Scott R. Shinn <scott@atomicorp.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: B50F B194 7A0A E311 45D0 5FAD EE1B 0E6B 2D83 87B7