Comment vérifier que le fichier téléchargé avec .fichier de sig?

Quand j'ai télécharger CCAG, il dispose également d'un .sig fichier, et je pense qu'il est fourni pour vérifier que le fichier téléchargé.
(J'ai téléchargé GCC de ici).

Mais je ne peux pas comprendre comment l'utiliser. J'ai essayé gpg, mais il se plaint de la clé publique.

[root@localhost src]# gpg --verify gcc-4.7.2.tar.gz.sig gcc-4.7.2.tar.gz
gpg: Signature made Thu 20 Sep 2012 07:30:44 PM KST using DSA key ID C3C45C06
gpg: Can't check signature: No public key
[root@localhost src]#

Comment puis-je vérifier que le fichier téléchargé avec .sig fichier?

InformationsquelleAutor Eonil | 2013-03-11
  1. 68

    Vous avez besoin d'importer la clé publique: C3C45C06

    Peut être fait en trois étapes.

    1) trouver la clé publique ID:

    $ gpg gcc-4.7.2.tar.gz.sig 
gpg: Signature made Č20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06
gpg: Can't check signature: No public key

    2) importer la clé publique du serveur de clés. Il n'est généralement pas nécessaire de choisir le serveur de clés, mais il peut être fait avec --keyserver <server>. Keyserver exemples.

    $ gpg --recv-key C3C45C06
gpg: requesting key C3C45C06 from hkp server keys.gnupg.net
gpg: key C3C45C06: public key "Jakub Jelinek <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

    3) vérifier la signature:

    $ gpg gcc-4.7.2.tar.gz.sig 
gpg: Signature made Č20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06
gpg: Good signature from "Jakub Jelinek <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 33C2 35A3 4C46 AA3F FB29  3709 A328 C3A2 C3C4 5C06

    La sortie devrait dire "Bonne signature".

    gpg: ATTENTION: Cette clé n'est pas certifiée avec une signature approuvée!

    Est une autre question 😉

    • Grande étape-par-étape des explications!
    • Dans le cas où le fichier nécessitant une vérification est gnupg (pas dans la question), SHA-1 vérifiez-les sommes sont disponibles sur le gnupg site de vérifier d'abord gnupg télécharger.
    • Lors de la vérification de la signature, gpg processus de l'archive du fichier et son correspondant .fichier de sig en tant qu'unité. Si l'archive est manquant ou renommé, gpg fournit l'occasion de préciser le nom de l'archive.
    • J'ai obtenir une clé RSA, et n'a pas de travail sans ou avec --keyserver à partir de cette liste, un seul obtenir, mais il ne semble pas digne de confiance, son bizarre depuis que je suis en train de l'essayer sur GNU coreutils qui est largement utilisé paquet.
    InformationsquelleAutor A.D.
  2. 18

    Cette autre avenue est particulièrement utile pour contrôler les projets GNU (par exemple Octave) depuis la clé demandée par leur signature ne peut pas être trouvé dans un serveur de clés.

    De http://ftp.gnu.org/README

    Il y a aussi .sig fichiers qui contiennent détaché de signatures GPG de
    les fichiers ci-dessus, automatiquement signé par le même script que
    les génère.

    Vous pouvez vérifier l' signatures pour le projet gnu fichiers avec le trousseau de clés
    fichier de:

    https://ftp.gnu.org/gnu/gnu-keyring.gpg

    Dans un répertoire avec le porte-clés fichier, le fichier source pour vérifier et
    le fichier de signature    , la commande à utiliser est:

    $ gpg --verify --keyring ./gnu-keyring.gpg foo.tar.xz.sig

    • Mais si nous parlons de la sécurité, il est préférable d'utiliser une connexion HTTPS: https://ftp.gnu.org/gnu/gnu-keyring.gpg
    • bon appel!
    • C'est drôle, je suis ici explicitement de comprendre comment valider Octave! 🙂
    • Merci. Je ne pouvais pas trouver le Bash du responsable de clé serveur de clés, mais c'était ce dont j'avais besoin pour vérifier la signature de son code source.
    • Pour octave, voir la réponse au sujet de gpg4win application ici: superuser.com/questions/1268544/...
    InformationsquelleAutor tay10r
  3. 0

    selon cette http://gcc.gnu.org/mirrors.html qui devrait être Jakub Jelinek et valide. je ne sais pas où vous l'obtenir sa clé publique même si.

    InformationsquelleAutor user1794469
  4. 0

    Vous avez à la recherche des serveurs de clés publiques pour l'id de clé: dans votre cas ID C3C45C06
    Importation trouvé la clé dans votre local de stockage des clés et après cette vérification devrait être OK.
    J'utilise Ubuntu 12.04 et il est livré avec des Hippocampes clé de logiciel de gestion. Avant l'importation de clé, j'ai vu cette:

    ~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2
gpg: Signature made  9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784
gpg: Can't check signature: public key not found

    Après l'importation de clé, j'ai vu cette:

    ~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2
gpg: Signature made  9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784
gpg: Good signature from "Ruben Rodriguez (GNU IceCat releases key) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: A573 69A8 BABC 2542 B5A0  368C 3C76 EED7 D7E0 4784
    InformationsquelleAutor zloster