1

Я попробовал следующие шаги из Проверки подписей в проекте Tor:

gpg.exe --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

  imported: 1

gpg.exe - отпечаток пальца 0x4E2C6E8793298290

  pub   4096R/93298290 2014-12-15 [expires: 2020-08-24]
  Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
  uid       [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
  sub   4096R/D9FF06E2 2018-05-26 [expires: 2020-09-12]

gpg.exe --verify C:\Users\Cyn\Desktop\torbrowser-install-win64-8.0.4_en-US.exe.asc

  gpg: no signed data
  gpg: can't hash datafile: No data

Файл выглядит так:

----- НАЧАТЬ PGP ПОДПИСЬ -----

бла-бла-бла /E = oakm

----- КОНЕЦ ПОДПИСИ PGP -----

Так что я сделал не так?

|источник

1 ответ1

3

Это отдельная подпись, и вам нужны данные.

Подписи пакета Tor, как и многие другие подписи пакетов с использованием PGP/GPG, которые вы найдете в сети, - это то, что PGP/GPG называет отдельной подписью - данные находятся в одном (часто большом) файле, а подпись - во втором. , отдельный (маленький) файл. Вот почему есть две ссылки на скачивание (или кнопки) - одна для действующего программного пакета и одна для отдельной / отдельной подписи. Чтобы проверить отдельную подпись на данных, вам также нужны данные (и открытый ключ); например для Windows вам нужно 

torbrowser-install-win64-8.0.4_en-US.exe -- the (relevant) data file 
torbrowser-install-win64-8.0.4_en-US.exe.asc -- the signature

Обратите внимание, что имена файлов имеют одинаковую базу, но в конце подписи добавлен .asc . Если вы запустите gpg[.exe] --verify file.asc где file.asc - это отдельная подпись, gpg автоматически выполнит поиск данных в file - и потерпит неудачу, если их там нет. (Аналогично для file.sig и file для бинарной, называемой «небронированной» подписи.)

На странице, на которую вы ссылаетесь, действительно написано «Предполагая, что вы загрузили пакет и его подпись на рабочий стол ...» Обратите внимание на пакет И его подпись.

Если у вас действительно есть файл данных, но под другим именем (включая другой каталог)или если он находится под именем по умолчанию, но вы хотите быть явным (что сейчас рекомендует руководство GPG), укажите оба имени файла: 

 gpg[.exe] --verify sigfile.asc datafile
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .