Verifique a chave gpg do stdin

2

Estou usando esses comandos em Dockerfile para adicionar o repositório de pacotes LLVM do Ubuntu :

RUN echo deb http://apt.llvm.org/artful/ llvm-toolchain-artful-6.0 main > \
    /etc/apt/sources.list.d/llvm.list && \
    wget -O - https://apt.llvm.org/llvm-snapshot.gpg.key | apt-key add -

Isso adicionará o repositório e registrará a chave. No entanto, eu também gostaria de verificar a chave usando a impressão digital fornecida no site. Como posso estender este comando para verificar a chave?

    
por Björn Pollex 27.01.2018 / 15:09

1 resposta

0

O comando para validar impressões digitais de gpg é gpg --with-fingerprint --with-colons - .

Assim, primeiro você baixa a chave e depois canaliza para o validador gpg.

wget -qO- https://apt.llvm.org/llvm-snapshot.gpg.key | gpg --with-fingerprint --with-colons -
wget -qO- https://apt.llvm.org/llvm-snapshot.gpg.key | gpg --with-fingerprint --with-colons - | sed -ne 's|^fpr:::::::::\([0-9A-F]\+\):$||p'

Note que a solução completa e segura exige que você garanta a validação da impressão digital da mesma chave do que você realmente descriptografa.

    
por 04.02.2018 / 00:40