Wie überprüfe ich eine Datei mit einer ASC-Signaturdatei?

13

Dieses Projekt bietet beispielsweise eine *.ascDatei mit einer PGP-Signatur zur Überprüfung des Inhalts des Downloads (im Gegensatz zu einer Prüfsumme wird die leere Spalte angezeigt ): https://ossec.github.io/downloads.html

Wie würde ich diese Datei verwenden? Ich habe es gpg --verifymit anderen Varianten versucht , aber es scheint, dass der Name mit der Datei übereinstimmt, aber der Dateiname beim Herunterladen ist nicht genau der gleiche ... ich bin mir nicht sicher, wie er funktionieren soll.

gpg checksum pgp digital-signatures user8897013
quelle

Antworten:

14
  • Laden Sie die Schlüsseldatei herunter:
wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
  • Überprüfen Sie die Schlüsseldatei, um sicherzustellen, dass sie die Schlüssel- EE1B0E6B2D8387B7ID hat.
gpg --keyid-format long --list-options show-keyring OSSEC-ARCHIVE-KEY.asc
  • Wenn dies korrekt ist, importieren Sie den Schlüssel:
gpg --import OSSEC-ARCHIVE-KEY.asc
  • Laden Sie das Softwarepaket herunter
wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
  • Laden Sie die Signaturdatei herunter
https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc
  • Überprüfen Sie es
gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz

Ausgabe

gpg: Signature made Sat Dec 23 16:13:01 2017 UTC
gpg:                using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0  5FAD EE1B 0E6B 2D83 87B7
Евгений Новиков
quelle
1
Es scheint, dass die Option --verify die Signaturdatei erwartet
niahoo
Ich bekommegpg: WARNING: "--show-keyring" is a deprecated option gpg: please use "--list-options show-keyring" instead
Dan Dascalescu