尝试验证 Bionic Beaver ISO 的 SHA256SUMS 时出现错误签名

tag-icon tag-icon iso gnupg tor checksums
尝试验证 Bionic Beaver ISO 的 SHA256SUMS 时出现错误签名

我正在尝试验证在 Windows 7 上下载的 Bionic Beaver。

我感觉我忽略了一些非常明显的东西。

我去了http://releases.ubuntu.com/bionic/并点击了 SHA256SUMS 和 SHA256SUMS.gpg

这似乎不会下载文件,而是在新选项卡中打开文件中的文本。

我使用 Ctrl-A,然后将文本复制到记事本中,将文件命名为 SHA256SUMS 和 SHA256SUMS.gpg。

我确保 Windows 在保存时没有添加任何奇怪的扩展。

我手动下载了我使用的两个密钥https://keyserver.ubuntu.com,其中一个带有指纹

C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451

另一个有指纹

8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092

下载完两个密钥后,我使用 Kleopatra 用我的个人密钥对它们进行了认证,并在帮助中心

当我跑步的时候

gpg --verify SHA256SUMS.gpg SHA256SUMS

我有

gpg: Signature made 11/29/18 16:27:43 US Mountain Standard Time
gpg:                using DSA key 46181433FBB75451
gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key <[email protected]
om>" [full]
gpg: Signature made 11/29/18 16:27:43 US Mountain Standard Time
gpg:                using RSA key D94AA3F0EFE21092
gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@u
buntu.com>" [full]

当我跑步的时候

gpg --verbose --verify SHA256SUMS.gpg SHA256SUMS

我有

gpg: armor header: Version: GnuPG v1
gpg: Signature made 11/29/18 16:27:43 US Mountain Standard Time
gpg:                using DSA key 46181433FBB75451
gpg: using pgp trust model
gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key <[email protected]
om>" [full]
gpg: binary signature, digest algorithm SHA512, key algorithm dsa1024
gpg: Signature made 11/29/18 16:27:43 US Mountain Standard Time
gpg:                using RSA key D94AA3F0EFE21092
gpg: BAD signature from "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@u
buntu.com>" [full]
gpg: binary signature, digest algorithm SHA512, key algorithm rsa4096

我尝试通过 TOR 从 SHA256SUMS 和 SHA256SUMS.gpg 选项卡复制数据,以防万一是本地网络问题,但也没有成功。

我在这里遗漏了什么?有没有办法直接下载 SHA256SUMS 和 SHA256SUMS.gpg 文件,而不是将数据复制到文本编辑器中并保存?

任何帮助都将不胜感激。我现在非常困惑和沮丧。

答案1

ostensibly_work 在 reddit 上解决了问题

我没有意识到右键单击并选择“将链接另存为”会直接下载文件。这样,gpg 签名就通过了。

谢谢大家的帮助!

答案2

您提到您担心通过 Windows 记事本传递下载的 SHA256SUMS 文本,您对此的担心是完全正确的。

虽然这似乎没有改变任何文本,但它确实改变了它,通过更改行尾标记,从默认的 Unix/Linux 风格开始LF(\n)到 CR+LF(\r\n),DOS/Windows 风格中的默认行尾。

我敢打赌,如果你再试一次,这次直接将 SHA256SUMS 文件下载到磁盘,而不是将其复制并粘贴到记事本中,那么签名就会匹配。对 SHA256SUMS.gpg 执行相同操作也不会有什么坏处,但可能不是必需的,只要签名检查无误即可。

要做到这一点,你只需要右键单击链接到文件,然后选择将它们保存到磁盘。另一种方法是,在浏览器窗口中打开文件后,选择浏览器中的“保存”命令。

答案3

密钥 D94AA3F0EFE21092 正确且有效(尽管未经认证)

密钥 46181433FBB75451 无效,正如您提到的来自 help.ubuntu.com 的文档所述,它已被弃用。

从浏览器下载文件或使用某些实用程序。

Linux中的按键起作用了!

相关内容