Como posso verificar https://files.devuan.org/devuan-devs.gpg

1

Estou correndo com Devuan Jessie. Eu quero instalar outro Devuan Ascii a partir do zero. Então eu baixei:

Mas não encontrei maneira de autenticar devuan-devs.gpg .

Outras distros como Debian ou Ubuntu ou semelhantes permitem-me verificar o ISO a partir de uma versão anterior existente.

Mas, para Devuan, não encontrei nenhuma maneira:

tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --verify SHA256SUMS.asc
gpg: assuming signed data in 'SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-archive-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in 'SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in 'SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found

tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --keyring ../devuan-devs.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in 'SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Good signature from "Vincenzo (KatolaZ) Nicosia <[email protected]>"
gpg:                 aka "Vincenzo Nicosia (KatolaZ) <[email protected]>"
gpg:                 aka "Vincenzo Nicosia (KatolaZ) <[email protected]>"
gpg:                 aka "KatolaZ <[email protected]>"
gpg:                 aka "Enzo Nicosia <[email protected]>"
gpg:                 aka "Enzo Nicosia -- KatolaZ <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8E59 D6AA 445E FDB4 A153  3D5A 5F20 B3AE 0B5F 062F

Como a "chave não é certificada", não há indicação de que a chave não é falsa. Como essa cadeia de confiança pode ser corrigida?

link também não resolve este enigma.

Notas:

devuan-devs.gpg provavelmente não é falso. No entanto, esta suposição não ajuda. Deve haver alguma maneira de garantir, não é falso. O problema inicial de Hen-Egg já está resolvido, já que Devuan (Jessie) já corre ao meu lado.

Há certamente uma maneira melhor de autenticar o ISO da Ascii do que atualizar Jessie para o Ascii. Certo?

    
por Tino 30.08.2018 / 18:01

1 resposta

0

Infelizmente, parece não haver uma maneira melhor de autenticar as imagens:

  • todos os arquivos envolvidos são baixados no mesmo canal;
  • a chave usada para assinar o arquivo SHA256SUMS não está disponível na versão anterior do Devuan;
  • a chave, conforme fornecida no chaveiro, não é assinada por nenhuma outra chave;
  • a chave, conforme publicada nos servidores de chaves, está assinada , mas não está no cenário strong, e nenhuma das assinaturas vem de chaves que estão no chaveiro da versão anterior do Devuan.

O fato de que a mesma chave está disponível nos servidores de chaves e no chaveiro publicado pode ser interpretado como fornecendo mais garantias, mas eu não tenho certeza se isso é verdade, pois ainda não sabemos se o proprietário é uma versão legítima do Devuan. signatário.

    
por 30.08.2018 / 18:48