Como faço para verificar a assinatura do gpg com apenas a impressão digital e o ID da chave?

Question

Como faço para verificar a assinatura do gpg com apenas a impressão digital e o ID da chave?

#1 resposta do (2 votos)

0

Estou tentando verificar a integridade do meu download do gmp-6.1.2.tar.lz (consulte aqui ). Eu estou no CentOS 6.6 usando gpg (GnuPG) 2.0.14.

O site GMP só lista

Key ID: 0x28C67298 
Key type: 2560 bit RSA 
Fingerprint: 343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298

Quando eu corro (como sugerido aqui ):

$ gpg --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz
gpg: Signature made Sun 18 Dec 2016 03:18:35 PM EST using RSA key ID 28C67298
gpg: Can't check signature: No public key

PERGUNTA

Como extraio a impressão digital do gpg para comparar com o site da GMP?
Eu não sei onde ou como obter a chave pública para o gmp, essa impressão digital está boa o suficiente? Isso não parece ser muito seguro, pois estou verificando a assinatura do arquivo no mesmo site do qual baixei o arquivo.

gnupg digital-signature

por irritable_phd_syndrom 23.02.2018 / 14:27

1 resposta

Tags gnupg digital-signature

MS Excel - convertendo texto para data [fechado] iptables firewall + visibilidade do cliente NAT

score 2 · Answer 1

I don't know where or how to get the public key for gmp, is this fingerprint checking good enough?

A chave geralmente pode ser obtida de servidores de chaves públicos, com base em sua ID ou impressão digital.

gpg --recv-key '343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298'

Alternativamente:

gpg --auto-key-retrieve --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz

A comparação da impressão digital é suficiente para garantir que você tenha a chave correta.

This does not seem to be very secure since I'm checking the signature of the file from the same website that I downloaded the file from.

Na verdade, não é muito seguro. Você deve tentar verificar a impressão digital usando outros meios, por exemplo, às vezes é parte de anúncios de lançamento em arquivos da lista de discussão; Eu às vezes uso o web.archive.org para garantir que o site não tenha mudado recentemente.

(O mecanismo de PGP "tradicional", teia de confiança, infelizmente não é muito útil aqui.)

A verificação ainda pode ser útil:

A mesma chave é usada para assinar muitos lançamentos. Mesmo que você não saiba de quem é a chave, ainda pode ser suficiente saber que é a mesma chave que foi assinada legitimamente nos últimos anos.
O download real pode ser hospedado em vários sites espelho. Se você confia no site principal do projeto, pode usar essas informações para verificar os arquivos baixados de qualquer lugar.