Я пытаюсь проверить целостность моей загрузки gmp-6.1.2.tar.lz (см. Здесь). Я на CentOS 6.6 с использованием gpg (GnuPG) 2.0.14.

Веб-сайт GMP только списки 

Key ID: 0x28C67298 
Key type: 2560 bit RSA 
Fingerprint: 343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298

Когда я бегу (как предложено здесь): 

$ gpg --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz
gpg: Signature made Sun 18 Dec 2016 03:18:35 PM EST using RSA key ID 28C67298
gpg: Can't check signature: No public key

ВОПРОС

  1. Как извлечь отпечаток из gpg для сравнения с сайтом GMP?

  2. Я не знаю, где или как получить открытый ключ для gmp. Достаточно ли хороша эта проверка отпечатков пальцев? Это не кажется очень безопасным, так как я проверяю подпись файла на том же веб-сайте, с которого я скачал файл.

|источник

1 ответ1

2

Я не знаю, где или как получить открытый ключ для gmp. Достаточно ли хороша эта проверка отпечатков пальцев?

Ключ обычно можно получить от открытых серверов ключей на основе его идентификатора или отпечатка пальца.

gpg --recv-key '343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298'

В качестве альтернативы:

gpg --auto-key-retrieve --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz

Сравнение его отпечатка пальца достаточно, чтобы убедиться, что вы получили правильный ключ.

Это не кажется очень безопасным, так как я проверяю подпись файла на том же веб-сайте, с которого я скачал файл.

На самом деле, это не очень безопасно. Вы должны попытаться проверить отпечаток пальца, используя другие средства, например, иногда это является частью объявлений о выпуске в архивах списков рассылки; Я иногда использую web.archive.org, чтобы убедиться, что сайт не изменился в последнее время.

("Традиционный" механизм PGP, сеть доверия, к сожалению, здесь не очень полезен.)

Проверка все еще может быть полезной, хотя:

  • Этот же ключ используется для подписи многих выпусков. Даже если вы не знаете, чей это ключ, этого может быть достаточно, чтобы знать, что это тот же ключ, который законно подписывал релизы в течение последних нескольких лет.

  • Фактическая загрузка может быть размещена на различных зеркальных сайтах. Если вы доверяете основному веб-сайту проекта, вы можете использовать эту информацию для проверки архивов, загруженных откуда угодно.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .