Wie überprüfe ich einen Asc Key-Fingerabdruck?

15

Im Moment versuche ich, den Fingerabdruck des oracle_vbox.asc-Schlüssels zu überprüfen, den ich von http://www.virtualbox.org/wiki/Linux_Downloads heruntergeladen habe : Sie stellen den Schlüssel und den Fingerabdruck bereit, enthalten jedoch keine Anweisungen zum Überprüfen dieser Informationen mich selber.

Wie zeige ich den Fingerabdruck des gerade heruntergeladenen Schlüssels an?

apt-key finger oracle_vbox.asc zeigt die Fingerabdrücke aller vertrauenswürdigen Schlüssel an, was ich nicht will.

Amanda
quelle

Antworten:

19

Hol den Schlüssel:

$ wget http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc

Drucken Sie den Schlüsselfingerabdruck mit GPG Version 1:

$ gpg --with-fingerprint oracle_vbox.asc 
pub  1024D/98AB5139 2010-05-18 Oracle Corporation
                      (VirtualBox archive signing key) <[email protected]>
      Key fingerprint = 7B0F AB3A 13B9 0743 5925  D9C9 5442 2A4B 98AB 5139
sub  2048g/281DDC4B 2010-05-18
      Key fingerprint = 27B0 97CF 8257 4209 C434  8D42 B674 8A65 281D DC4B

Beachten Sie, dass der zweite Fingerabdruck nur der Fingerabdruck des Unterschlüssels ist.

Drucken Sie den Fingerabdruck mit GPG Version 2:

$ gpg2 -n -q --import --import-options import-show  oracle_vbox.asc   
pub   dsa1024 2010-05-18 [SC]
      7B0FAB3A13B907435925D9C954422A4B98AB5139
uid   Oracle Corporation (VirtualBox archive signing key) <[email protected]>
sub   elg2048 2010-05-18 [E]

Beachten Sie, dass dies -nein Alias ​​für ist --dry-run, dh der Schlüssel wird nicht tatsächlich importiert.

Alternativ können Sie auch nur die Fingerabdrücke anzeigen:

$ gpg2 -nq --import --import-options import-show --with-colons oracle_vbox.asc \
     | awk -F: '$1 == "fpr" { print $10 }'
7B0FAB3A13B907435925D9C954422A4B98AB5139
27B097CF82574209C4348D42B6748A65281DDC4B
maxschlepzig
quelle
Gibt es einen analogen Befehl ohne Verwendung gpg? Ich meine, in SSH kann ich das cat ./id_rsa.pub | awk '{print $2}' | base64 -d | md5sumund es gibt mir einen MD5-Hash zurück, der dem Fingerabdruck-Hash von entspricht ssh -lf ./id_rsa.pub. Gibt es eine ähnliche Methode für öffentliche GPG-Schlüssel?
user3019105
2
@ user3019105, nein gibt es nicht. Das Format eines öffentlichen PGP-Schlüssels ist etwas komplizierter. Weitere Informationen finden Sie in RFC 4880 und im GPG-Quellcode.
Maxschlepzig
Der RFC sagt (über veraltete MD5-Fingerabdrücke): The fingerprint of a V3 key is formed by hashing the body (but not the two-octet length) of the MPIs that form the key material (public modulus n, followed by exponent e) with MD5.Kann ich den Körper dieses MPIs nicht mit einer öffentlichen ASCII-Rüstungsdatei (Radix-64) versehen?
user3019105
@ user3019105, das können Sie. Sie können duplizieren, was bereits in GPG implementiert ist. Eine solche Befehlszeile wäre jedoch weitaus aufwändiger als die, die Sie für einen öffentlichen ssh-Schlüssel angegeben haben. Das wäre also nicht analog.
Maxschlepzig
Ok, danke, aber ich muss noch herausfinden, wie ich body of the MPIs that form the key materialdie RFC-Gespräche
bekomme
5

Schritt 1

$ deb http://download.virtualbox.org/virtualbox/debian artful contrib

Schritt 2

$ wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -

Schritt 3

$ apt-key list

oder äquivalent,

$ apt-key finger

was zurückkehren sollte

/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2016-04-22 [SC]
      B9F8 D658 297A F3EF C18D  5CDF A2F6 83C5 2980 AECF
uid           [ unknown] Oracle Corporation (VirtualBox archive signing key) <[email protected]>
sub   rsa4096 2016-04-22 [E]

was wiederum gleichbedeutend sein sollte mit

Der Schlüsselfingerabdruck für oracle_vbox_2016.asc lautet

B9F8 D658 297A F3EF C18D  5CDF A2F6 83C5 2980 AECF
Oracle Corporation (VirtualBox archive signing key) <[email protected]>

auf https://www.virtualbox.org/wiki/Linux_Downloads , entweder durch visuelle Inspektion oder weitere Befehlszeile fu.


Ähnliche Links:

verrückt nach natty
quelle
dieser
frage
0

Sie haben sowohl den Schlüssel als auch den Fingerabdruck? Lauf:

ssh-keygen -lf key.pub

gegen den Schlüssel, um den Fingerabdruck zu bekommen.

ssh-keygenReferenz: http://www.manpagez.com/man/1/ssh-keygen/

mvario
quelle
3
ssh-keygen erkennt "oracle_vbox.asc" nicht als öffentliche Schlüsseldatei.
Amanda
Mein Fehler, der Befehl sollte "ssh-keygen -lf" sein. Bekommst du immer noch einen Fehler?
mvario
4
Das funktioniert nicht.
Maxschlepzig
ssh-keygen -lf oracle_vbox_2016.asc oracle_vbox_2016.asc ist keine öffentliche Schlüsseldatei.
Scott Stensland
2
ssh-keygen ist nicht für PGP-Schlüssel.
Geoffrey
0

Dies funktioniert mit GPG 2 (zumindest konnte ich es mit Versionen 2.1.18und überprüfen 2.2.12):

wget http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc
gpg_home=$(mktemp -d)
gpg --homedir "$gpg_home" --import oracle_vbox.asc
# gpg: keybox '/tmp/tmp.CHoWuJBy7N/pubring.kbx' created
# gpg: /tmp/tmp.CHoWuJBy7N/trustdb.gpg: trustdb created
# gpg: key 54422A4B98AB5139: public key "Oracle Corporation (VirtualBox archive signing key) <[email protected]>" imported
# gpg: Total number processed: 1
# gpg:               imported: 1
gpg --homedir "$gpg_home" --list-keys
# /tmp/tmp.CHoWuJBy7N/pubring.kbx
# -------------------------------
# pub   dsa1024 2010-05-18 [SC]
#       7B0FAB3A13B907435925D9C954422A4B98AB5139
# uid           [ unknown] Oracle Corporation (VirtualBox archive signing key) <[email protected]>
# sub   elg2048 2010-05-18 [E]
# 

Quelle: /unix//a/468889

ominug
quelle