Kiedy pobieram GCC, ma również .sig
plik i myślę, że jest dostarczany w celu zweryfikowania pobranego pliku. (Pobrałem GCC stąd ).
Ale nie wiem, jak mam go używać. Próbowałem gpg
, ale narzeka na klucz publiczny.
[root@localhost src]# gpg --verify gcc-4.7.2.tar.gz.sig gcc-4.7.2.tar.gz
gpg: Signature made Thu 20 Sep 2012 07:30:44 PM KST using DSA key ID C3C45C06
gpg: Can't check signature: No public key
[root@localhost src]#
Jak mogę zweryfikować pobrany plik z .sig
plikiem?
--keyserver
tą listą, tylko jeden go dostaje, ale wydaje się, że nie jest zaufany, to dziwne, ponieważ go wypróbowujęGNU coreutils
, jest to powszechnie używany pakiet.gpg --verify gcc-4.7.2.tar.gz.sig
zamiast tego.Ta inna droga jest szczególnie przydatna do weryfikacji projektów GNU (np. Octave ), ponieważ klucza żądanego przez ich podpis nie można znaleźć na żadnym serwerze kluczy.
Z http://ftp.gnu.org/README
źródło
Musisz przeszukać publiczne serwery kluczy pod kątem podanego identyfikatora klucza: w twoim przypadku
ID C3C45C06
zaimportuj znaleziony klucz do lokalnego magazynu kluczy, a następnie weryfikacja powinna być OK. Używam Ubuntu 12.04 i jest wyposażony w oprogramowanie do zarządzania kluczami Seahorse. Przed importem klucza widziałem to:~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2 gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784 gpg: Can't check signature: public key not found
Po imporcie klucza widziałem to:
~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2 gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784 gpg: Good signature from "Ruben Rodriguez (GNU IceCat releases key) <[email protected]>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: A573 69A8 BABC 2542 B5A0 368C 3C76 EED7 D7E0 4784
źródło
zgodnie z tym http://gcc.gnu.org/mirrors.html powinien to być Jakub Jelinek i ważny. nie wiem jednak, skąd wziąłbyś jego klucz publiczny.
źródło