Comment vérifier le fichier téléchargé avec le fichier .sig ?

Question

Lorsque je télécharge GCC, il a également un fichier .sig et je pense qu'il est fourni pour vérifier le fichier téléchargé. (J'ai téléchargé GCC à partir de aquí ).

Mais je n'arrive pas à savoir comment je dois l'utiliser. J'ai essayé gpg mais il se plaint de la clé publique.

[root@localhost src]# gpg --verify gcc-4.7.2.tar.gz.sig gcc-4.7.2.tar.gz
gpg: Signature made Thu 20 Sep 2012 07:30:44 PM KST using DSA key ID C3C45C06
gpg: Can't check signature: No public key
[root@localhost src]# 

Comment puis-je vérifier le fichier téléchargé avec .sig fichier ?

Answer 1

Vous devez importer la clé publique : C3C45C06

Cela peut se faire en trois étapes.

1. trouver l'ID de la clé publique :

   $ gpg gcc-4.7.2.tar.gz.sig gpg : Signature réalisée le 20. září 2012, 12:30:44 CEST en utilisant la clé DSA ID C3C45C06 gpg : Impossible de vérifier la signature : Pas de clé publique

2. importer la clé publique du serveur de clés. Il n'est généralement pas nécessaire de choisir le serveur de clés, mais cela peut être fait avec --keyserver <server> . Exemples de serveurs de clés.

   $ gpg --recv-key C3C45C06 gpg : Demande de la clé C3C45C06 au serveur hkp keys.gnupg.net gpg : Clé C3C45C06 : clé publique "Jakub Jelinek jakub@redhat.com" importée gpg : Aucune clé de confiance n'a été trouvée gpg : Nombre total de traitements : 1 gpg : Importation : 1

Si la commande se termine par une erreur avec un délai d'attente, vous êtes peut-être derrière un pare-feu qui bloque le port gpg par défaut. Essayez d'utiliser l'option `--keyserver' avec le port 80. (presque tous les pare-feu autorisent le port 80 en raison de la navigation sur Internet) :

$ gpg --keyserver hkp://${HOSTNAME}:80 --recv-keys ${KEY_ID}

3. vérifier la signature :

   $ gpg gcc-4.7.2.tar.gz.sig gpg : Signature réalisée le 20. září 2012, 12:30:44 CEST en utilisant la clé DSA ID C3C45C06 gpg : Bonne signature de "Jakub Jelinek jakub@redhat.com" [inconnu] gpg : WARNING : Cette clé n'est pas certifiée avec une signature de confiance ! gpg : Il n'y a aucune indication que la signature appartient au propriétaire. Empreinte digitale de la clé primaire : 33C2 35A3 4C46 AA3F FB29 3709 A328 C3A2 C3C4 5C06

La sortie devrait dire "Bonne signature".

---

gpg : WARNING : Cette clé n'est pas certifiée avec une signature de confiance !

C'est pour une autre question ;)

Answer 2

Cette autre voie est particulièrement utile pour vérifier les projets GNU (par ex. Octave ) puisque la clé demandée par leur signature peut ne se trouver dans aucun serveur de clés.

En https://ftp.gnu.org/README

Il y a aussi des fichiers .sig, qui contiennent les signatures GPG détachées de des fichiers ci-dessus, automatiquement signés par le même script qui les les génère.

Vous pouvez vérifier le signatures pour les fichiers du projet gnu avec le trousseau de clés à partir de :

https://ftp.gnu.org/gnu/gnu-keyring.gpg

Dans un avec le fichier du trousseau de clés, le fichier source à vérifier et le fichier de signature la commande à utiliser est :

$ gpg --verify --keyring ./gnu-keyring.gpg foo.tar.xz.sig

Answer 3

Vous devez rechercher les serveurs de clés publiques pour l'identifiant de clé donné : dans votre cas, il s'agit de ID C3C45C06 Importez la clé trouvée dans votre keystore local et après cela la vérification devrait être OK. J'utilise Ubuntu 12.04 et il est livré avec le logiciel de gestion de clés Seahorse. Avant l'importation de la clé, je voyais ceci :

~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2
gpg: Signature made  9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784
gpg: Can't check signature: public key not found

Après l'importation de la clé, je voyais ceci :

~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2
gpg: Signature made  9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784
gpg: Good signature from "Ruben Rodriguez (GNU IceCat releases key) <ruben@gnu.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: A573 69A8 BABC 2542 B5A0  368C 3C76 EED7 D7E0 4784

Answer 4

Selon ce qui suit http://gcc.gnu.org/mirrors.html ça devrait être Jakub Jelinek et valide. Je ne sais pas où vous pourriez obtenir sa clé publique cependant.