Я пытаюсь убедиться, что загруженный файл GPG4win действительно легитимен. У меня есть доступ к машине с проверенной установкой GnuPG. Я побежал
> gpg --recv EC70B1B8
> gpg -v --verify gpg4win-2.3.3.exe.sig gpg4win-2.3.3.exe
Version: GnuPG v1.4.12 (GNU/Linux)
gpg: armor header:
gpg: Signature made Thu 18 Aug 2016 05:20:50 AM EDT using DSA key ID EC70B1B8
gpg: using PGP trust model
gpg: Good signature from "Intevation File Distribution Key <distribution-key@intevation.de>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 61AC 3F5E E4BE 593C 13D6 8B1E 7CBD 620B EC70 B1B8
gpg: binary signature, digest algorithm SHA1
Меня беспокоит то, что отпечаток первичного ключа не соответствует сертификату подписи кода на их веб-сайте:
Сертификат подписи кода Все файлы установщика Gpg4win exe с апреля 2016 года подписаны следующим сертификатом подписи кода:
S/N: 1121A3D67EAB28AA86FD85728B57FA62630D Issuer: CN=GlobalSign CodeSigning CA - SHA256 - G2,O=GlobalSign nv-sa,C=BE Subject: 1.2.840.113549.1.9.1=#636F64657369676E696E6740696E7465766174696F6E2E6465,CN=IntevationGmbH, O = Intevation GmbH, L = Оснабрюк, ST = Нидерсаксен, C = DE sha1_fpr: DE: 16: D5: 97: 2F: 0B: 73: 95: F7: D9: 1E: DC: 1F: 21: 9B: 0F: FE: 89: FA: B3 md5_fpr: C0: 98: 08: 94: D4: E7: 97: 3E: 9D: F4: 18: E4: 5E: 0A: 2E: D7 не ранее: 2016-03-30 16: 54: 41 notAfter: 2019-03-31 16:54:41
Я сравниваю sha1_fpr с отпечатком первичного ключа. Разве это не правильно?