Como verificar os cds do Debian com gpg?

Question

Como verificar os cds do Debian com gpg?

#1 resposta do (3 votos)

2

Eu baixei a iso de instalação da Debian do link . Também baixei o MD5SUMS e MD5SUMS.sign .
Verifiquei que o md5sum de iso corresponde à entrada presente em MD5SUMS .

Agora quero verificar o arquivo MD5SUMS no MD5SUMS.sign usando o GPG. Eu não estou muito familiarizado com o GPG. Tentei verificar usando gpg --verify MD5SUMS.sign MD5SUMS , mas recebi o erro de gpg: Can't check signature: public key not found .

Isso é esperado porque não importei a chave pública que acompanha o arquivo de sinal. Não consegui encontrar a chave necessária para importar e a documentação do Debian também não está clara sobre isso.

A documentação Debian sobre a verificação de cds com gpg inclui um link para Chaveiro do GPG do Debian e algumas impressões digitais como abaixo.

pub   4096R/64E6EA7D 2009-10-03
      Key fingerprint = 1046 0DAD 7616 5AD8 1FBC  0CE9 9880 21A9 64E6 EA7D
uid                  Debian CD signing key <[email protected]>

pub   4096R/6294BE9B 2011-01-05
      Key fingerprint = DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
uid                  Debian CD signing key <[email protected]>
sub   4096R/11CD9819 2011-01-05

pub   4096R/09EA8AC3 2014-04-15
      Key fingerprint = F41D 3034 2F35 4669 5F65  C669 4246 8F40 09EA 8AC3
uid                  Debian Testing CDs Automatic Signing Key <[email protected]>
sub   4096R/6BD05CFB 2014-04-15

Eu não sei como usar o chaveiro ou as impressões digitais das chaves. Por favor, explique como posso verificar o arquivo MD5SUMS com o arquivo MD5SUMS.sign.

debian gpg verification

por Bharat G 09.12.2015 / 18:03

1 resposta

Tags debian gpg verification

sort comporta-se estranhamente com notação científica Como instalo o TREE quando a linha de comando não funciona?

score 3 · Accepted Answer

Você perdeu a importante linha acima:

gpg: Signature made Fri Sep 11 17:13:36 2015 CEST using RSA key ID 6294BE9B
gpg: Can't check signature: No public key

Isso informa que esse arquivo está assinado com a chave 6294BE9B . Essa é a chave que você precisa receber primeiro:

gpg --keyserver hkp://pool.sks-keyservers.net --recv-keys 6294BE9B

Agora você pode verificar se o arquivo está realmente assinado com essa chave. - Se você confia nessa chave, tudo está bem.

Todos os servidores de chaves geralmente estão em sincronia entre si. Realmente não importa qual você usa. Se você não tiver certeza se obteve a chave correta, verifique se a impressão digital dessa chave ( gpg --fingerprint 6294BE9B ) é a mesma fornecida no site ou verifique as assinaturas ( gpg --list-sigs 6294BE9B ) dessa chave. (Se você confiar nos assinantes da chave, poderá confiar na própria chave.)