it-swarm.com.de

So überprüfen Sie die PGP-Signatur mit dem Signaturschlüssel

Ich muss ein Programm mit einer PGP-Signatur und einem Signaturschlüssel (öffentlicher Schlüssel) herunterladen.

Wie überprüfe ich das Programm mit dem Signaturschlüssel?

6
567hz

Angenommen, Sie haben GPG installiert:

gpg --import signing_key.pub
gpg --verify signed_file.sig

Wo signing_key.pub ist der öffentliche Schlüssel und signed_file.sig ist die getrennte Signatur für die Datei (im selben Verzeichnis wie die signierte Datei).

8
David

Wenn nur ein .asc PGP-Signatur wird gegeben

Ein erster Versuch, das .tar.xz schlägt fehl, ist aber dennoch nützlich, um die RSA-Schlüsselkennung zu erhalten.

$ gpg --verify tor-browser-linux64-9.0.4_en-US.tar.xz.asc

gpg: assuming signed data in 'tor-browser-linux64-9.0.4_en-US.tar.xz'
gpg: Signature made Thu 09 Jan 2020 21:09:44 CET
gpg:                using RSA key EB774491D9FF06E2
gpg: Can't check signature: No public key

Verwenden Sie nun die erwähnte RSA-Schlüsselkennung, um den fehlenden öffentlichen Schlüssel von einem Schlüsselserver zu importieren.

$ gpg --keyserver pgpkeys.mit.edu --recv-key EB774491D9FF06E2

gpg: key 4E2C6E8793298290: 70 duplicate signatures removed
gpg: key 4E2C6E8793298290: 21229 signatures not checked due to missing keys
gpg: key 4E2C6E8793298290: 2 signatures reordered
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <[email protected]>" imported
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   1  signed:   1  trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: depth: 1  valid:   1  signed:   0  trust: 0-, 0q, 0n, 1m, 0f, 0u
gpg: next trustdb check due at 2021-12-08
gpg: Total number processed: 1
gpg:               imported: 1

Der zweite Überprüfungsversuch ist nun erfolgreich.

$ gpg --verify tor-browser-linux64-9.0.4_en-US.tar.xz.asc

gpg: assuming signed data in 'tor-browser-linux64-9.0.4_en-US.tar.xz'
gpg: Signature made Thu 09 Jan 2020 21:09:44 CET
gpg:                using RSA key EB774491D9FF06E2
gpg: Good signature from "Tor Browser Developers (signing key) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: 1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2
0