我正在尝试关注官方如何验证你的 Ubuntu 下载教程用于验证 20.04 最小云镜像提供的校验和这里。
我从第一个命令收到错误:
$ gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS
gpg: not a detached signature
我认为校验和没有通过验证是因为错误,而且我也没能从其他地方找到解决方案。我删除并重新下载了这些文件几次,所以这不是问题。
有人见过这个吗?我是不是漏掉了什么?
答案1
由于某种原因,Ubuntu Minimal SHA256SUMS 未使用--detach-sign
(或-b
)命令进行签名,这将创建预期的分离签名。相反,它们是使用--sign
(或-s
)命令进行签名的,从而创建一个自包含的签名文档。
您可以使用该命令检查签名并恢复已签名的文档--decrypt
(我知道,这是违反直觉的)。
$ gpg --decrypt SHA256SUMS.gpg
c3f4cd7464340015b2977da9fb96028263eb62dbf96b048984034d11791beb4c ubuntu-20.04-minimal-cloudimg-amd64.img
73b2c5abc077b8778ce2e17511b606a2d076dc01047c54add62ee76e8c5df710 ubuntu-20.04-minimal-cloudimg-amd64-lxd.tar.xz
e61af8d1932f683a90a5e6247af92c94a0b45a2e78c6c769320e2b12ffc10f46 ubuntu-20.04-minimal-cloudimg-amd64.manifest
46f64b066e8f3db24fcf72376ff91e8ac0e5c29e4bde61c42a4ebc2ecb1fef55 ubuntu-20.04-minimal-cloudimg-amd64-root.manifest
35a78bf1dd2438e95c0b7d3b0a0206e4c15289459588be42f9a271c5503ee4eb ubuntu-20.04-minimal-cloudimg-amd64-root.tar.xz
ebd14a7963b884df3878e4ab0e6523d132fd332dbdb835d7d03f915d2961135b ubuntu-20.04-minimal-cloudimg-amd64.squashfs
46f64b066e8f3db24fcf72376ff91e8ac0e5c29e4bde61c42a4ebc2ecb1fef55 ubuntu-20.04-minimal-cloudimg-amd64.squashfs.manifest
gpg: Signature made Thu 25 Mar 2021 12:06:00 PM PDT
gpg: using RSA key 7FF3F408476CF100
gpg: Good signature from "Ubuntu Cloud Image Builder (Canonical Internal Cloud Image Builder) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 4A3C E3CD 565D 7EB5 C810 E2B9 7FF3 F408 476C F100
如果您希望它输出已签名的文档,请使用该--output FILENAME
选项。