Как проверить подпись gpg, учитывая только отпечаток пальца и идентификатор ключа?

Я пытаюсь проверить целостность моего gmp-6.1.2.смола.скачать ЛЗ (см. здесь). Я нахожусь на CentOS 6.6, используя gpg (GnuPG) 2.0.14.

сайт GMP только перечисляет 

Key ID: 0x28C67298 
Key type: 2560 bit RSA 
Fingerprint: 343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298

когда я бегу (как предложено здесь):

$ gpg --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz
gpg: Signature made Sun 18 Dec 2016 03:18:35 PM EST using RSA key ID 28C67298
gpg: Can't check signature: No public key

вопрос

  1. Как я извлекаю фингерпринт от gpg для того чтобы сравнить с вебсайтом GMP?

  2. Я не знаю, где и как чтобы получить открытый ключ для gmp, этот отпечаток пальца достаточно хорош? Это, кажется, не очень безопасно, так как я проверяю подпись файла с того же сайта, с которого я скачал файл.

3
задан irritable_phd_syndrom
06.05.2023 15:57 Количество просмотров материала 2664
Распечатать страницу

1 ответ

Я не знаю где или как получить открытый ключ для gmp, этот фингерпринт проверяя хорош достаточно?

ключ обычно можно получить на публичных серверах ключей на основе его идентификатора или отпечатка пальца.

gpg --recv-key '343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298'

кроме того:

gpg --auto-key-retrieve --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz

сравнивать свой фингерпринт достаточно для того чтобы обеспечить что вы получило правильно ключ.

это, кажется, не очень безопасно, так как я проверяю подпись файла из того же сайт, с которого я скачал файл.

действительно, это не очень безопасно. Вы должны попытаться проверить отпечаток пальца, используя другие средства, например, иногда это часть объявлений о выпуске в архивах списков рассылки; я иногда использую web.archive.org чтобы убедиться, что сайт не изменился в последнее время.

("традиционный" механизм PGP, web of trust, к сожалению, здесь не очень полезен.)

проверка все еще может быть полезной хотя:

  • один и тот же ключ используется для подписывания множества релизов. Даже если вы не знаете, чей это ключ, все равно может быть достаточно знать, что это один и тот же ключ, который законно подписывал релизы в течение последних нескольких лет.

  • фактическая загрузка может быть размещена на различных зеркальных сайтах. Если Вы доверяете основному веб-сайту проекта, вы можете использовать эту информацию для проверки архивов, загруженных с везде.

2
отвечен grawity 2023-05-07 23:45

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх