Comment vérifier un fichier à l'aide d'un fichier de signature ASC?

15

À titre d'exemple, ce projet propose un *.ascfichier avec une signature PGP pour vérifier le contenu du téléchargement (par opposition à une somme de contrôle, vous pouvez voir la colonne vide): https://ossec.github.io/downloads.html

Comment utiliser ce fichier? J'ai essayé gpg --verifyet d'autres variantes, mais il semble correspondre au nom du fichier, mais le nom du fichier tel qu'il est téléchargé n'est pas exactement le même ... je ne sais pas comment il est censé fonctionner.

gpg checksum pgp digital-signatures user8897013
la source

Réponses:

16
  • Téléchargez le fichier clé:
wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
  • Inspectez le fichier de clés pour confirmer qu'il a EE1B0E6B2D8387B7comme identifiant de clé.
gpg --keyid-format long --list-options show-keyring OSSEC-ARCHIVE-KEY.asc
  • Si c'est correct, importez la clé:
gpg --import OSSEC-ARCHIVE-KEY.asc
  • Téléchargez le logiciel
wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
  • Téléchargez le fichier de signature
https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc
  • Vérifiez-le
gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz

Production

gpg: Signature made Sat Dec 23 16:13:01 2017 UTC
gpg:                using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0  5FAD EE1B 0E6B 2D83 87B7
Евгений Новиков
la source
1
Il semble que l'option --verify attend le fichier de signature
niahoo
Je reçoisgpg: WARNING: "--show-keyring" is a deprecated option gpg: please use "--list-options show-keyring" instead
Dan Dascalescu