gpg --verify给我坏签名的频率比我预期的要高。就在本周,两个图书馆给我发出了“坏签名”警告 -利钠和克鲁比。我按照 chruby README 上的所有说明进行操作,但仍然收到错误签名警告。
我应该检查一下我的安装吗?任何帮助我都非常感谢。
$ gpg --version
gpg (GnuPG/MacGPG2) 2.0.17
libgcrypt 1.4.6
Mac OSX 10.6.6
$ gpg --verify libsodium-0.2.tar.gz.sig
gpg: Signature made Tue 29 Jan 05:47:53 2013 GMT using DSA key ID 1CDEA439
gpg: BAD signature from "Jedi/Sector One <[email protected]>"
通过使用不同的下载方法解决了 chruby 问题,使用 cURL 下载时验证失败,但使用 Github 网站的链接下载的文件可以正常工作。尝试使用 libsodium 进行同样的操作,仍然失败,所以也许只是 libsodium 的文件有问题?
答案1
对我来说,它有效(与 GnuPG 版本相同)。可能是您的 HTTP 客户端以某种方式篡改了文件。尝试使用我使用的 wget。
wget http://download.dnscrypt.org/libsodium/releases/libsodium-0.2.tar.gz
wget http://download.dnscrypt.org/libsodium/releases/libsodium-0.2.tar.gz.sig
gpg --verify libsodium-0.2.tar.gz.sig