Como verificar um arquivo usando um arquivo de assinatura asc?

2

Como exemplo, este projeto oferece um arquivo *.asc com uma assinatura PGP para verificar o conteúdo do download (ao contrário de uma soma de verificação, você pode ver a coluna vazia): link

Como eu usaria esse arquivo? Eu tentei gpg --verify e outras variantes, mas parece estar combinando o nome até o arquivo, no entanto, o nome do arquivo que é baixado não é exatamente o mesmo ... não tenho certeza como ele deve funcionar.

    
por user8897013 08.02.2018 / 03:49

1 resposta

1
  • Download da chave de assinatura wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
  • Importar chave gpg --import OSSEC-ARCHIVE-KEY.asc
  • Download da versão wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
  • Fazer download da assinatura https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc
  • Confirme gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz

Resultado

gpg: Signature made Sat Dec 23 16:13:01 2017 UTC
gpg:                using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0  5FAD EE1B 0E6B 2D83 87B7
    
por 08.02.2018 / 04:34