Comment vérifier le fichier téléchargé avec le fichier .sig?

Lorsque je télécharge GCC, il contient également un fichier .sig , et je pense qu’il est fourni pour vérifier le fichier téléchargé. (J’ai téléchargé GCC à partir d’ ici ).

Mais je ne peux pas comprendre comment je devrais l’utiliser. J’ai essayé gpg , mais il se plaint de la clé publique.

 [root@localhost src]# gpg --verify gcc-4.7.2.tar.gz.sig gcc-4.7.2.tar.gz gpg: Signature made Thu 20 Sep 2012 07:30:44 PM KST using DSA key ID C3C45C06 gpg: Can't check signature: No public key [root@localhost src]# 

Comment puis-je vérifier le fichier téléchargé avec le fichier .sig ?

Vous devez importer la clé publique: C3C45C06

Peut être fait en trois étapes.

1) trouver l’identifiant de la clé publique:

 $ gpg gcc-4.7.2.tar.gz.sig gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06 gpg: Can't check signature: No public key 

2) importer la clé publique du serveur de clés. Il n’est généralement pas nécessaire de choisir le serveur de clés, mais cela peut être fait avec --keyserver . Exemples de serveur de clés

 $ gpg --recv-key C3C45C06 gpg: requesting key C3C45C06 from hkp server keys.gnupg.net gpg: key C3C45C06: public key "Jakub Jelinek " imported gpg: no ultimately trusted keys found gpg: Total number processed: 1 gpg: imported: 1 

3) vérifier la signature:

 $ gpg gcc-4.7.2.tar.gz.sig gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06 gpg: Good signature from "Jakub Jelinek " [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 33C2 35A3 4C46 AA3F FB29 3709 A328 C3A2 C3C4 5C06 

La sortie devrait dire “bonne signature”.


gpg: ATTENTION: Cette clé n’est pas certifiée par une signature de confiance!

Est pour une autre question;)

Cette autre piste est particulièrement utile pour vérifier les projets GNU (par exemple, Octave ), car la clé demandée par leur signature ne peut être trouvée sur aucun serveur de clés.

De http://ftp.gnu.org/README

Il existe également des fichiers .sig, qui contiennent des signatures GPG détachées des fichiers ci-dessus, signés automatiquement par le même script qui les génère.

Vous pouvez vérifier les signatures des fichiers de projet gnu avec le fichier de clés à partir de:

https://ftp.gnu.org/gnu/gnu-keyring.gpg

Dans un répertoire contenant le fichier de clés, le fichier source à vérifier et le fichier de signature , la commande à utiliser est la suivante:

$ gpg --verify --keyring ./gnu-keyring.gpg foo.tar.xz.sig

selon ce http://gcc.gnu.org/mirrors.html qui devrait être Jakub Jelinek et valide. Je ne sais pas où vous obtiendrez sa clé publique.

Vous devez rechercher les clés publiques pour l’identifiant de la clé: dans votre cas ID C3C45C06 Importez la clé trouvée dans votre magasin de clés local et après cela, la vérification devrait être correcte. J’utilise Ubuntu 12.04 et il est livré avec le logiciel de gestion de clés Seahorse. Avant l’importation de la clé, je voyais ceci:

 ~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2 gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784 gpg: Can't check signature: public key not found 

Après l’importation de la clé, je voyais ceci:

 ~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2 gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784 gpg: Good signature from "Ruben Rodriguez (GNU IceCat releases key) " gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: A573 69A8 BABC 2542 B5A0 368C 3C76 EED7 D7E0 4784