Estou tentando verificar a assinatura PGP da versão mais recente do arquivo de configuração do KeePass 2.14 em relação a "> esta assinatura , mas esta é a saída que recebo:
C:\Program Files (x86)\GNU\GnuPG>gpg.exe --verify C:\Users\User\Desktop\KeePass-2.14-Setup.exe
gpg: no valid OpenPGP data found.
gpg: the signature could not be verified.
Please remember that the signature file (.sig or .asc)
should be the first file given on the command line.
C:\Program Files (x86)\GNU\GnuPG>
Eu encontrei este comando aqui , mas ele não mencionou ".sig" ou ".asc" arquivos, então eu percebi que fiz algo errado. Ao ler as páginas do manual , tentei ainda o seguinte:
C:\Program Files (x86)\GNU\GnuPG>gpg.exe --pgpfile C:\Users\User\Desktop\KeePass-2.14-Setup.exe
gpg: Invalid option "--pgpfile"
C:\Program Files (x86)\GNU\GnuPG>
Como você pode ver, os resultados são bastante ofuscantes ...
Eu dei uma olhada em isso em SuperUser , mas nenhum dos links pareceu responder à minha pergunta, pelo menos não diretamente o suficiente para eu ter uma ideia de como avançar com isso.
Alguém aqui pode me ajudar com o tecnicismo esotérico do OpenPGP & o uso associado do programa GnuPG? Eu me senti muito estúpido aprendendo VBS, mas isso é além de ser humilhante: é absolutamente debilitante e mutilar qualquer confiança que eu tenha com minhas habilidades em TI (novamente, eu também não tenho justificativa para me gabar, já que eu ainda não recebi meu A + Cert, lol).
ATUALIZAÇÃO 04-04-2011
Ok, então cansei de brincar com o Windows e decidi fazer tudo certo inicializando o Ubuntu; isso por si só tornou as coisas muito mais lógicas!
Então aqui está minha lista de comandos e onde eu estou:
proto@type:~$ cd Desktop/
proto@type:~/Desktop$ gpg --import KeePass-2.14-Setup.exe.asc
gpg: no valid OpenPGP data found.
gpg: Total number processed: 0
proto@type:~/Desktop$ gpg --import Dominik_Reichl.asc
gpg: /home/proto/.gnupg/trustdb.gpg: trustdb created
gpg: key FEB7C7BC: public key "Dominik Reichl " imported
gpg: Total number processed: 1
gpg: imported: 1
proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe
gpg: no valid OpenPGP data found.
gpg: the signature could not be verified.
Please remember that the signature file (.sig or .asc)
should be the first file given on the command line.
proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc
gpg: Signature made Sun 02 Jan 2011 05:25:24 AM MST using DSA key ID FEB7C7BC
gpg: Good signature from "Dominik Reichl "
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC
proto@type:~/Desktop$ gpg --verify Dominik_Reichl.asc
gpg: verify signatures failed: unexpected data
Como Mike instruiu, coloquei ".exe" & os arquivos ".asc" no mesmo diretório, sendo o Desktop. Como você pode ver no código, também coloquei a chave pública "Dominik_Reichl.asc" no diretório Desktop.
Por favor, seja paciente comigo, pois eu tenho sido completamente estragado por MD5; Estou assumindo que o Passo 5 acima é o equivalente a este GPG:
C:\Users\user\>CD Desktop
C:\Users\user\Desktop>MD5Sum KeePass-2.14-Setup.exe
bae59065b24f0a6f2ed4bb9e0d6fc65f *KeePass-2.14-Setup.exe
Eu digo isso porque o comportamento muda sempre que eu movo o arquivo "KeePass-2.14-Setup.exe" para uma pasta "temp" na área de trabalho. Quando eu executo o comando, este é o resultado que obtenho:
proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc
gpg: no signed data
gpg: can't hash datafile: file open error
Estes resultados levaram-me a acreditar que eu deveria extrair o "DSA key ID" & a "Impressão da chave primária", da Etapa 5, e compare-os com os valores na parte superior da Página de assinatura . Então, é onde a similaridade está na verificação do MD5? Isso é tudo que existe para isso? Ou há mais um passo? Existe um comando que eu uso para verificar estes dois strings ? São essas seqüências que eu realmente preciso verificar? Quais são essas sequências?
Agora há outro problema com o qual estou tendo que lidar. Nos resultados da "impressão da chave primária", tenho 2 espaços entre o "8065" e o "5626". Quando eu uso uma planilha para verificar meus resultados com a string na Página de Assinatura, recebo um resultado "FALSE" devido ao espaço em branco extra nos meus resultados. Eu verifiquei a fonte da página de assinatura para ver se o navegador estava ignorando o espaço em branco extra, mas esse não é o caso.
2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC # From Source of Signature Page
2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC # From My Results
Desde que eu remova esse espaço em branco extra, meus resultados coincidem com os da Página de Assinatura, mas eles não devem corresponder sem nenhuma intervenção da minha parte? A diferença no espaço em branco deve ser motivo de alarme?
Infelizmente, as GPG Man Pages ainda são bastante obscuras para mim, ou como algumas pessoas podem dizer que são "hostis ao usuário" (pesquise "user hostile gpg"), então eu precisarei de algumas cenouras extras lançadas do meu jeito. Eu admito: sou burro. Na verdade, quando eu ainda estava aprendendo a usar a verificação do MD5, eu me atrapalhava com isso quase tanto quanto com isso.