Comment vérifier une empreinte digitale de clé asc?

15

En ce moment, j'essaie de vérifier l'empreinte digitale de la clé oracle_vbox.asc que j'ai téléchargée à partir de http://www.virtualbox.org/wiki/Linux_Downloads : ils fournissent la clé et l'empreinte digitale mais aucune instruction pour revoir ces informations moi même.

Comment afficher l'empreinte digitale de la clé que je viens de télécharger?

apt-key finger oracle_vbox.asc affiche les empreintes digitales de toutes les clés de confiance, ce qui n'est pas ce que je veux.

gnupg Amanda
la source

Réponses:

19

Obtenez la clé:

$ wget http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc

Imprimez l'empreinte digitale clé avec GPG version 1:

$ gpg --with-fingerprint oracle_vbox.asc 
pub  1024D/98AB5139 2010-05-18 Oracle Corporation
                      (VirtualBox archive signing key) <[email protected]>
      Key fingerprint = 7B0F AB3A 13B9 0743 5925  D9C9 5442 2A4B 98AB 5139
sub  2048g/281DDC4B 2010-05-18
      Key fingerprint = 27B0 97CF 8257 4209 C434  8D42 B674 8A65 281D DC4B

Notez que la 2ème empreinte digitale n'est que l'empreinte digitale de la sous-clé.

Imprimez l'empreinte digitale avec GPG version 2:

$ gpg2 -n -q --import --import-options import-show  oracle_vbox.asc   
pub   dsa1024 2010-05-18 [SC]
      7B0FAB3A13B907435925D9C954422A4B98AB5139
uid   Oracle Corporation (VirtualBox archive signing key) <[email protected]>
sub   elg2048 2010-05-18 [E]

Notez qu'il -ns'agit d'un alias pour --dry-run, c'est-à-dire que la clé n'est pas réellement importée.

Alternativement, pour afficher simplement les empreintes digitales:

$ gpg2 -nq --import --import-options import-show --with-colons oracle_vbox.asc \
     | awk -F: '$1 == "fpr" { print $10 }'
7B0FAB3A13B907435925D9C954422A4B98AB5139
27B097CF82574209C4348D42B6748A65281DDC4B
maxschlepzig
la source
Existe-t-il une commande analogue sans utilisation gpg? Je veux dire, en SSH, je peux le faire cat ./id_rsa.pub | awk '{print $2}' | base64 -d | md5sumet cela me renverra un hachage MD5 qui est égal au hachage d'empreinte digitale de ssh -lf ./id_rsa.pub. Existe-t-il une manière similaire de le faire avec les clés publiques GPG?
user3019105
2
@ user3019105, non, il n'y en a pas. Le format d'une clé publique PGP est un peu plus compliqué. Voir RFC 4880 et le code source GPG pour plus de détails.
maxschlepzig
Le RFC dit (sur les empreintes digitales obsolètes MD5) The fingerprint of a V3 key is formed by hashing the body (but not the two-octet length) of the MPIs that form the key material (public modulus n, followed by exponent e) with MD5.:, ne puis-je pas obtenir le corps de ce MPI donné un fichier de clé publique Armor ASCII (Radix-64)?
user3019105
@ user3019105, vous le pouvez. Vous pouvez dupliquer ce qui est déjà implémenté dans GPG. Mais une telle ligne de commande serait bien plus élaborée que celle que vous avez publiée pour une clé publique ssh. Ainsi, ce ne serait pas analogue.
maxschlepzig
Ok merci, mais j'ai encore besoin de savoir comment obtenir les body of the MPIs that form the key materialdiscussions sur la RFC
user3019105
5

Étape 1

$ deb http://download.virtualbox.org/virtualbox/debian artful contrib

Étape 2

$ wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -

Étape 3

$ apt-key list

ou équivalent,

$ apt-key finger

qui devrait revenir

/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2016-04-22 [SC]
      B9F8 D658 297A F3EF C18D  5CDF A2F6 83C5 2980 AECF
uid           [ unknown] Oracle Corporation (VirtualBox archive signing key) <[email protected]>
sub   rsa4096 2016-04-22 [E]

qui à son tour devrait être équivalent à

L'empreinte digitale clé pour oracle_vbox_2016.asc est

B9F8 D658 297A F3EF C18D  5CDF A2F6 83C5 2980 AECF
Oracle Corporation (VirtualBox archive signing key) <[email protected]>

sur https://www.virtualbox.org/wiki/Linux_Downloads , soit par inspection visuelle soit par la ligne de commande fu.

Liens connexes:

noisette sur natty
la source
cette question manque une explication ...
fou sur natty
0

Vous avez à la fois la clé et l'empreinte digitale? Courir:

ssh-keygen -lf key.pub

contre la clé pour obtenir l'empreinte digitale.

ssh-keygenréférence: http://www.manpagez.com/man/1/ssh-keygen/

mvario
la source
3
ssh-keygen ne reconnaît pas "oracle_vbox.asc" comme fichier de clé publique.
Amanda
mon erreur, la commande devrait être "ssh-keygen -lf" Avez-vous toujours une erreur?
mvario
4
Cela ne fonctionne pas.
maxschlepzig
ssh-keygen -lf oracle_vbox_2016.asc oracle_vbox_2016.asc n'est pas un fichier de clé publique.
Scott Stensland
2
ssh-keygen n'est pas pour les clés PGP.
Geoffrey
0

Cela fonctionne avec GPG 2 (au moins, je pourrais le vérifier avec les versions 2.1.18et 2.2.12):

wget http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc
gpg_home=$(mktemp -d)
gpg --homedir "$gpg_home" --import oracle_vbox.asc
# gpg: keybox '/tmp/tmp.CHoWuJBy7N/pubring.kbx' created
# gpg: /tmp/tmp.CHoWuJBy7N/trustdb.gpg: trustdb created
# gpg: key 54422A4B98AB5139: public key "Oracle Corporation (VirtualBox archive signing key) <[email protected]>" imported
# gpg: Total number processed: 1
# gpg:               imported: 1
gpg --homedir "$gpg_home" --list-keys
# /tmp/tmp.CHoWuJBy7N/pubring.kbx
# -------------------------------
# pub   dsa1024 2010-05-18 [SC]
#       7B0FAB3A13B907435925D9C954422A4B98AB5139
# uid           [ unknown] Oracle Corporation (VirtualBox archive signing key) <[email protected]>
# sub   elg2048 2010-05-18 [E]
#

Source: /unix//a/468889

ominug
la source