Tentando verificar a integridade do arquivo com o GnuPG. “Assinatura ruim” o tempo todo

Question

Tentando verificar a integridade do arquivo com o GnuPG. “Assinatura ruim” o tempo todo

#1 resposta do (2 votos)

0

Sou completamente novo no GnuPGP e estou tentando testá-lo.

Basicamente, o que eu fiz foi baixado a chave Linux Mint (ID 0FF405B2) do pgp.mit.edu.

gpg --keyserver pgp.mit.edu --recv-keys 0FF405B2

Eu verifiquei que está no meu chaveiro, de Clement Lefebvre.

Depois disso, baixei o bloco PGP de um mirror do Linux Mint. ( link )

Eu essencialmente copiei e colei e salvei como "lmgpg.sig". Eu também tentei "lmgpg.gpg" e "lmgpg.txt.gpg" e até mesmo Wget'd ele.

Depois disso, salvei um dos hashes:

854d0cfaa9139a898c2a22aa505b919ddde34f93b04a831b3f030ffe4e25a8e3 linuxmint-17.3-canela-64bit.iso

Como um arquivo .txt, lmsum.txt

Então, quando tudo isso é feito, tento verificar o arquivo com o hash nele e até mesmo o próprio ISO. Com ambos, eu recebo:

gpg --verify lmgpg.sig lmsum.txt 
gpg: Signature made Wed 06 Jan 2016 08:06:20 AM PST using DSA key ID 0FF405B2
gpg: BAD signature from "Clement Lefebvre (Linux Mint Package Repository v1) <[email protected]>"

Isso também acontece quando repito as operações acima com arquivos de um espelho estável da Debian.

Por favor, o que diabos eu estou fazendo errado?

gpg

por Emwdmkqowdkmqwomkd 14.03.2016 / 13:39

1 resposta

Tags gpg

Requer: libcurl.so.3 () (64 bits) Layout de teclado com o Solaris no VirtualBox

score 2 · Accepted Answer

Os vários arquivos de soma de verificação e assinatura permitem verificar os arquivos que você baixou, arquivos não que você mesmo recria. Então você baixar a imagem ISO e os arquivos de verificação

wget http://mirror.csclub.uwaterloo.ca/linuxmint/stable/17.3/linuxmint-17.3-cinnamon-64bit.iso
wget http://mirror.csclub.uwaterloo.ca/linuxmint/stable/17.3/sha256sum.txt{.gpg,}

e puxe a chave GPG para o seu chaveiro como você fez, então verifique os arquivos:

sha256sum -c sha256sum.txt

que reclama de falta de arquivos, mas verifica o ISO que você baixou e

gpg --verify sha256sum.txt.gpg sha256sum.txt

que deve lhe dizer que a assinatura é boa. A assinatura é somente válida para o arquivo exato que foi assinado; você não pode criar parte dele usando sha256sum e verificá-lo.

O objetivo deste exercício é verificar se o ISO está correto, de acordo com sha256sum , e se o checksum SHA-256 está correto, de acordo com a assinatura do GnuPG; crucialmente, a última parte se baseia na chave Linux Mint de Clement Lefebvre, que você baixou separadamente de uma fonte diferente.