¿Cómo verificar un archivo usando un archivo de firma asc?

15

Como ejemplo, este proyecto ofrece un *.ascarchivo con una firma PGP para verificar el contenido de la descarga (a diferencia de una suma de verificación, puede ver la columna vacía): https://ossec.github.io/downloads.html

¿Cómo usaría este archivo? Lo intenté gpg --verifyy otras variantes, pero parece coincidir con el nombre del archivo, sin embargo, el nombre del archivo que se descarga no es exactamente el mismo ... no estoy seguro de cómo se supone que funciona.

gpg checksum pgp digital-signatures usuario8897013
fuente

Respuestas:

16
  • Descargue el archivo de clave:
wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
  • Inspeccione el archivo de clave para confirmar que tiene EE1B0E6B2D8387B7como keyid.
gpg --keyid-format long --list-options show-keyring OSSEC-ARCHIVE-KEY.asc
  • Si es correcto, importe la clave:
gpg --import OSSEC-ARCHIVE-KEY.asc
  • Descargue el paquete de software
wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
  • Descargar el archivo de firma
https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc
  • Verificarlo
gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz

Salida

gpg: Signature made Sat Dec 23 16:13:01 2017 UTC
gpg:                using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0  5FAD EE1B 0E6B 2D83 87B7
Евгений Новиков
fuente
1
Parece que la opción --verify espera el archivo de firma
niahoo
Obtengogpg: WARNING: "--show-keyring" is a deprecated option gpg: please use "--list-options show-keyring" instead
Dan Dascalescu