C'est une signature détachée et vous avez besoin des données.
Les signatures de paquets Tor, comme beaucoup d'autres signatures de paquets utilisant PGP / GPG que vous trouverez sur le net, sont ce que PGP / GPG appelle une signature détachée - les données sont dans un fichier (souvent volumineux) et la signature dans une seconde. , fichier séparé (petit). C'est pourquoi il existe deux liens de téléchargement (ou boutons): un pour le progiciel réel et un pour la signature séparée / détachée. Afin de vérifier une signature détachée sur des données, vous avez également besoin des données (et de la clé publique). par exemple pour Windows, vous avez besoin
torbrowser-install-win64-8.0.4_en-US.exe -- the (relevant) data file
torbrowser-install-win64-8.0.4_en-US.exe.asc -- the signature
Notez que les noms de fichiers ont la même base, mais que la signature a été .ascajoutée à la fin. Si vous exécutez gpg[.exe] --verify file.ascoù se file.asctrouve une signature détachée, gpg recherche automatiquement les données contenues file- et échoue si elles ne sont pas présentes. (De même pour file.siget filepour une signature binaire aka "non blindée".)
La page que vous associez indique en fait "Si vous avez téléchargé le package et sa signature sur votre bureau ...", notez le package ET sa signature .
Si vous avez le fichier de données mais sous un nom différent (y compris un répertoire différent) ou sous le nom par défaut mais que vous souhaitez être explicite (ce que le manuel de GPG recommande désormais), spécifiez les deux noms de fichier:
gpg[.exe] --verify sigfile.asc datafile
dave_thompson_085
la source
