gpg --verify está me dando uma má assinatura com mais frequência do que eu esperava. Apenas esta semana, duas bibliotecas me deram avisos de "assinatura BAD" - Libsodium e chruby . Eu segui todas as instruções do README chruby e ainda assim recebo um aviso de assinatura ruim.
Há algumas coisas que devo verificar sobre minha instalação? Qualquer ajuda é muito apreciada.
$ gpg --version
gpg (GnuPG/MacGPG2) 2.0.17
libgcrypt 1.4.6
Mac OSX 10.6.6
$ gpg --verify libsodium-0.2.tar.gz.sig
gpg: Signature made Tue 29 Jan 05:47:53 2013 GMT using DSA key ID 1CDEA439
gpg: BAD signature from "Jedi/Sector One <[email protected]>"
O problema chruby foi corrigido usando um método de download diferente, a verificação falhou com um download cURL, mas usando os links do site do Github, o arquivo que baixei funcionou. Tentei o mesmo com libsodium e ele ainda falha, então talvez seja apenas o arquivo da libsodium?
Funciona para mim (mesma versão do GnuPG). Provavelmente seu cliente HTTP de alguma forma mexeu nos arquivos. Tente usar o wget que usei.
wget http://download.dnscrypt.org/libsodium/releases/libsodium-0.2.tar.gz
wget http://download.dnscrypt.org/libsodium/releases/libsodium-0.2.tar.gz.sig
gpg --verify libsodium-0.2.tar.gz.sig