我已经从以下位置下载了 Debian 安装 isohttp://cdimage.debian.org/debian-cd/current/amd64/iso-dvd/。我也下载了MD5总和和MD5SUMS.sign。
我验证了 iso 的 md5sum 与中存在的条目匹配MD5总和。
现在我想使用 GPG 对照 MD5SUMS.sign 验证 MD5SUMS 文件。我对GPG不是很熟悉。我尝试使用 进行验证
gpg --verify MD5SUMS.sign MD5SUMS
,但出现错误
gpg: Can't check signature: public key not found
。
这是预期的,因为我还没有导入签名文件附带的公钥。我找不到导入所需的密钥,并且 debian 文档对此也不清楚。
Debian 文档关于使用 gpg 验证 cd 包含一个链接Debian GPG 钥匙圈和一些关键指纹如下。
pub 4096R/64E6EA7D 2009-10-03
Key fingerprint = 1046 0DAD 7616 5AD8 1FBC 0CE9 9880 21A9 64E6 EA7D
uid Debian CD signing key <[email protected]>
pub 4096R/6294BE9B 2011-01-05
Key fingerprint = DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B
uid Debian CD signing key <[email protected]>
sub 4096R/11CD9819 2011-01-05
pub 4096R/09EA8AC3 2014-04-15
Key fingerprint = F41D 3034 2F35 4669 5F65 C669 4246 8F40 09EA 8AC3
uid Debian Testing CDs Automatic Signing Key <[email protected]>
sub 4096R/6BD05CFB 2014-04-15
我不知道如何使用钥匙圈或钥匙指纹。请解释如何使用 MD5SUMS.sign 文件验证 MD5SUMS 文件。
答案1
您错过了上面的重要一行:
gpg: Signature made Fri Sep 11 17:13:36 2015 CEST using RSA key ID 6294BE9B
gpg: Can't check signature: No public key
这告诉您该文件是用 key 签名的6294BE9B
。这是您首先需要收到的密钥:
gpg --keyserver hkp://pool.sks-keyservers.net --recv-keys 6294BE9B
现在您可以验证该文件确实是使用该密钥签名的。 - 如果您信任该密钥,一切都很好。
所有密钥服务器通常彼此同步。你使用哪一个并不重要。如果您不确定是否获得了正确的密钥,请检查该密钥的指纹 ( gpg --fingerprint 6294BE9B
) 是否与网站上给出的相同,或者检查gpg --list-sigs 6294BE9B
该密钥的签名 ( )。 (如果您信任密钥的签名者,您就可以信任密钥本身。)