Quando faço o download do GCC, ele também tem um .sig
arquivo, e acho que é fornecido para verificar o arquivo baixado. (Eu baixei o GCC daqui ).
Mas não consigo descobrir como devo usá-lo. Tentei gpg
, mas reclama da chave pública.
[root@localhost src]# gpg --verify gcc-4.7.2.tar.gz.sig gcc-4.7.2.tar.gz
gpg: Signature made Thu 20 Sep 2012 07:30:44 PM KST using DSA key ID C3C45C06
gpg: Can't check signature: No public key
[root@localhost src]#
Como posso verificar o arquivo baixado com o .sig
arquivo?
--keyserver
essa lista, apenas uma a obteve, mas parece que não é confiável, é estranho, já que estou testando emGNU coreutils
um pacote amplamente usado.gpg --verify gcc-4.7.2.tar.gz.sig
lugar.Esta outra via é particularmente útil para verificar projetos GNU (por exemplo, Octave ), uma vez que a chave solicitada por sua assinatura não pode ser encontrada em nenhum servidor de chaves.
De http://ftp.gnu.org/README
fonte
Você tem que pesquisar os servidores de chaves públicos para a identificação de chave fornecida: no seu caso,
ID C3C45C06
importe a chave encontrada em seu armazenamento de chaves local e depois disso a verificação deve estar OK. Eu uso o Ubuntu 12.04 e ele vem com o software de gerenciamento de chaves Seahorse. Antes da importação da chave, eu via o seguinte:~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2 gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784 gpg: Can't check signature: public key not found
Após a importação da chave, eu estava vendo isso:
~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2 gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784 gpg: Good signature from "Ruben Rodriguez (GNU IceCat releases key) <[email protected]>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: A573 69A8 BABC 2542 B5A0 368C 3C76 EED7 D7E0 4784
fonte
de acordo com este http://gcc.gnu.org/mirrors.html que deve ser Jakub Jelinek e válido. eu não sei onde você conseguiria a chave pública dele.
fonte