抱歉,文字太多了...我是菜鸟 (^.^) 尝试了解 PGP / 在 macOS 上验证下载的“LibreOffice_7.3.7_MacOS_x86-64.dmg”?我想我知道如何验证下载(?)但尝试了解如何使用公钥。相当多的在线教程包括导入公钥,但这是否有必要,因为我无法让它工作?
我做了什么..
- 安装 brew 和 gnupg
- 已下载“LibreOffice_7.3.7_MacOS_x86-64.dmg”
- 下载其 PGP 签名为:“LibreOffice_7.3.7_MacOS_x86-64.dmg.asc”
- 下载其 shasum 为:LibreOffice_7.3.7_MacOS_x86-64.dmg.sha256.txt
导航到下载文件夹并尝试..
$ gpg --import LibreOffice_7.3.7_MacOS_x86-64.dmg.asc
但它又回来了……
gpg: no valid OpenPGP data found.
gpg: Total number processed: 0
在他们的网站上看到的是 --pgp 签名 -- 而不是他们的 public.asc (doh!)。经过谷歌搜索发现这讨论导致克里斯蒂安·洛迈尔的评论说:
公钥 =
$ gpg --keyserver hkp://keys.gnupg.net --recv-keys AFEEAEA3
指纹为:C283 9ECA D940 8FBE 9531 C3E9 F434 A1EF AFEE AEA3
所以我尝试了...
$ gpg --keyserver hkp://keys.gnupg.net --recv-keys AFEEAEA3
gpg: key F434A1EFAFEEAEA3: "LibreOffice Build Team (CODE SIGNING KEY) <[email protected]>" not changed
gpg: Total number processed: 1
gpg: unchanged: 1
$ gpg --fingerprint AFEEAEA3
pub rsa4096 2010-10-11 [SC]
C283 9ECA D940 8FBE 9531 C3E9 F434 A1EF AFEE AEA3
uid [ unknown] LibreOffice Build Team (CODE SIGNING KEY) <[email protected]>
sub rsa4096 2010-10-11 [E]
$ gpg --verify LibreOffice_7.3.7_MacOS_x86-64.dmg.asc LibreOffice_7.3.7_MacOS_x86-64.dmg
gpg: Signature made Sun 30 Oct 10:56:45 2022 GMT
gpg: using RSA key C2839ECAD9408FBE9531C3E9F434A1EFAFEEAEA3
gpg: Good signature from "LibreOffice Build Team (CODE SIGNING KEY) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: C283 9ECA D940 8FBE 9531 C3E9 F434 A1EF AFEE AEA3
我也尝试过:
$ shasum -a 256 LibreOffice_7.3.7_MacOS_x86-64.dmg
输出的数字与我下载的数字相同。但是……
总结:虽然我可以将 ---pgp 签名--- 下载为 .asc 文件,以便与 .dmg 进行比较,但这种方法可以吗?我如何使用公钥?为什么 ---公钥--- 不在 libreoffice 网站上?