Похожие вопросы

Что определяет хэш-алгоритм clearsign, используемый GnuPG?
Отношения между ними.p7b и.файлы цифровых сертификатов spc
minispy - Windows не удается проверить цифровую подпись этого файла
Не удается запустить подписанное приложение
Программное обеспечение для цифровой подписи - самозаверяющий сертификат
Несколько цифровых подписей в Word 2010 иногда не
Как проверить подпись gpg, учитывая только отпечаток пальца и идентификатор ключа?
Проверить подписанный файл с помощью GPG, передав подпись, размещенную в интернете, а не локально (т. е. в keyring)?
Проверка цифровой подписи в PDF-файл
Как я могу использовать мою подпись в Google после того как это сделано?
Проверка цифровой подписи для распространяемого пакета Visual C++
Почему подпись отображается внутри белого прямоугольника в документе Adobe после печати?
Как установить неподписанные драйверы в Windows 7?
Требуется решение для проверки цифровых подписей с истекшим сроком действия
OpenSSL на окна: проблемы подписывая файл через командную строку

Как проверить подпись gpg, учитывая только отпечаток пальца и идентификатор ключа?

Я пытаюсь проверить целостность моего gmp-6.1.2.смола.скачать ЛЗ (см. здесь). Я нахожусь на CentOS 6.6, используя gpg (GnuPG) 2.0.14.

сайт GMP только перечисляет

Key ID: 0x28C67298 
Key type: 2560 bit RSA 
Fingerprint: 343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298 

когда я бегу (как предложено здесь):

$ gpg --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz
gpg: Signature made Sun 18 Dec 2016 03:18:35 PM EST using RSA key ID 28C67298
gpg: Can't check signature: No public key

вопрос

  1. Как я извлекаю фингерпринт от gpg для того чтобы сравнить с вебсайтом GMP?

  2. Я не знаю, где и как чтобы получить открытый ключ для gmp, этот отпечаток пальца достаточно хорош? Это, кажется, не очень безопасно, так как я проверяю подпись файла с того же сайта, с которого я скачал файл.

5
источник

1 ответов

Я не знаю где или как получить открытый ключ для gmp, этот фингерпринт проверяя хорош достаточно?

ключ обычно можно получить на публичных серверах ключей на основе его идентификатора или отпечатка пальца.

gpg --recv-key '343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298'

кроме того:

gpg --auto-key-retrieve --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz

сравнивать свой фингерпринт достаточно для того чтобы обеспечить что вы получило правильно ключ.

это, кажется, не очень безопасно, так как я проверяю подпись файла из того же сайт, с которого я скачал файл.

действительно, это не очень безопасно. Вы должны попытаться проверить отпечаток пальца, используя другие средства, например, иногда это часть объявлений о выпуске в архивах списков рассылки; я иногда использую web.archive.org чтобы убедиться, что сайт не изменился в последнее время.

("традиционный" механизм PGP, web of trust, к сожалению, здесь не очень полезен.)

проверка все еще может быть полезной хотя:

  • один и тот же ключ используется для подписывания множества релизов. Даже если вы не знаете, чей это ключ, все равно может быть достаточно знать, что это один и тот же ключ, который законно подписывал релизы в течение последних нескольких лет.

  • фактическая загрузка может быть размещена на различных зеркальных сайтах. Если Вы доверяете основному веб-сайту проекта, вы можете использовать эту информацию для проверки архивов, загруженных с везде.

2
отвечен grawity 2018-02-23 14:00:09
источник

Другие вопросы digital-signature gnupg