web-dev-qa-db-fra.com

Comment vérifier la signature PGP avec la clé de signature

Je dois télécharger un programme avec une signature PGP et une clé de signature (clé publique)

Comment vérifier le programme avec la clé de signature?

6
567hz

En supposant que vous avez installé GPG:

gpg --import signing_key.pub
gpg --verify signed_file.sig

signing_key.pub est la clé publique et signed_file.sig est la signature détachée du fichier (dans le même répertoire que le fichier signé).

8
David

Quand seulement un .asc La signature PGP est donnée

Une première tentative pour vérifier le .tar.xz échoue, mais est néanmoins utile pour obtenir l'identifiant de clé RSA.

$ gpg --verify tor-browser-linux64-9.0.4_en-US.tar.xz.asc

gpg: assuming signed data in 'tor-browser-linux64-9.0.4_en-US.tar.xz'
gpg: Signature made Thu 09 Jan 2020 21:09:44 CET
gpg:                using RSA key EB774491D9FF06E2
gpg: Can't check signature: No public key

Maintenant, utilisez l'identifiant de clé RSA mentionné pour importer la clé publique manquante à partir d'un serveur de clés.

$ gpg --keyserver pgpkeys.mit.edu --recv-key EB774491D9FF06E2

gpg: key 4E2C6E8793298290: 70 duplicate signatures removed
gpg: key 4E2C6E8793298290: 21229 signatures not checked due to missing keys
gpg: key 4E2C6E8793298290: 2 signatures reordered
gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <[email protected]>" imported
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   1  signed:   1  trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: depth: 1  valid:   1  signed:   0  trust: 0-, 0q, 0n, 1m, 0f, 0u
gpg: next trustdb check due at 2021-12-08
gpg: Total number processed: 1
gpg:               imported: 1

La deuxième tentative de vérification réussit maintenant.

$ gpg --verify tor-browser-linux64-9.0.4_en-US.tar.xz.asc

gpg: assuming signed data in 'tor-browser-linux64-9.0.4_en-US.tar.xz'
gpg: Signature made Thu 09 Jan 2020 21:09:44 CET
gpg:                using RSA key EB774491D9FF06E2
gpg: Good signature from "Tor Browser Developers (signing key) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
     Subkey fingerprint: 1107 75B5 D101 FB36 BC6C  911B EB77 4491 D9FF 06E2
0
Serge Stroobandt