Como validar automaticamente um arquivo de sinal gpg sem a chave pública (com o download da chave pública), confirme e inicie a próxima etapa

Question

Como validar automaticamente um arquivo de sinal gpg sem a chave pública (com o download da chave pública), confirme e inicie a próxima etapa

#1 resposta do (2 votos)

2

Eu gostaria de criar uma tarefa para download, verificar um arquivo sem chave pública que baixarei e ter uma resposta se for bom ou não para a próxima etapa.

Eu fiz este exemplo com linux-4.12.7.tar.gz e linux-4.12.7.tar.sign ( link ).

gpg normal, eu tenho:

~# xz -cd linux-4.12.7.tar.xz | gpg --verify linux-4.12.7.tar.sign -
gpg: assuming signed data in 'linux-4.12.7.tar'
gpg: Signature made Sun 13 Aug 2017 04:35:18 CEST
gpg:                using RSA key 647F28654894E3BD457199BE38DBBDC86092693E
gpg: Can't check signature: public key not found

gpg com status-fd, tenho:

~# xz -cd linux-4.12.7.tar.xz | gpg --status-fd 1 --verify linux-4.12.7.tar.sign -
gpg: assuming signed data in 'linux-4.12.7.tar'
[GNUPG:] NEWSIG
gpg: Signature made Sun 13 Aug 2017 04:35:18 CEST
gpg:                using RSA key 647F28654894E3BD457199BE38DBBDC86092693E
[GNUPG:] ERRSIG 38DBBDC86092693E 1 8 00 1502591718 9
[GNUPG:] NO_PUBKEY 38DBBDC86092693E
gpg: Can't check signature: public key not found

Estou bloqueado com o ponto, como baixar a chave pública automaticamente e depois de validar se é bom ou não para a próxima etapa? Se bom próximo passo, se não pará-lo com um alerta.

manualmente, eu faço, mas como tirar a chave para fazê-lo automaticamente?

~# gpg --keyserver hkp://keys.gnupg.net --recv-keys 38DBBDC86092693E
gpg: /root/.gnupg/trustdb.gpg: trustdb created
gpg: key 38DBBDC86092693E: public key "Greg Kroah-Hartman (Linux kernel stable release signing key) <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1

Quando é bom:

~# xz -cd linux-4.12.7.tar.xz | gpg --verify linux-4.12.7.tar.sign -
gpg: Signature made dim. 13 août 2017 04:35:18 CEST
gpg:                using RSA key 647F28654894E3BD457199BE38DBBDC86092693E
gpg: Good signature from "Greg Kroah-Hartman (Linux kernel stable release signing key) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 647F 2865 4894 E3BD 4571  99BE 38DB BDC8 6092 693E

Para o final, se estiver bom, inicie o próximo passo.

Obrigado antecipadamente.

gpg

por Neustradamus 14.08.2017 / 13:30

1 resposta

Tags gpg

Linux mint: dispositivo sem fio não recuperado após a atualização Problemas ao fazer uma atualização do banco de dados tripwire: Nenhum protocolo especificado / QXcbConnection: Não foi possível conectar-se à exibição: 0 / Falha na atualização interativa

score 2 · Answer 1

Você pode colocar keyserver-options auto-key-retrieve em ~/.gnupg/gpg.conf e ele buscará qualquer chave que você não tenha, mas deseja verificar / criptografar.

Mas, na verdade, não entendo por que você deseja isso, já que está invalidando o propósito da verificação de assinatura, se você confiar em qualquer chave que seu blob baixado apresente.