Comment vérifier un fichier à l'aide d'un fichier de signature ASC?


15

À titre d'exemple, ce projet propose un *.ascfichier avec une signature PGP pour vérifier le contenu du téléchargement (par opposition à une somme de contrôle, vous pouvez voir la colonne vide): https://ossec.github.io/downloads.html

Comment utiliser ce fichier? J'ai essayé gpg --verifyet d'autres variantes, mais il semble correspondre au nom du fichier, mais le nom du fichier tel qu'il est téléchargé n'est pas exactement le même ... je ne sais pas comment il est censé fonctionner.

Réponses:


16
  • Téléchargez le fichier clé:
wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
  • Inspectez le fichier de clés pour confirmer qu'il a EE1B0E6B2D8387B7comme identifiant de clé.
gpg --keyid-format long --list-options show-keyring OSSEC-ARCHIVE-KEY.asc
  • Si c'est correct, importez la clé:
gpg --import OSSEC-ARCHIVE-KEY.asc
  • Téléchargez le logiciel
wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
  • Téléchargez le fichier de signature
https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc
  • Vérifiez-le
gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz

Production

gpg: Signature made Sat Dec 23 16:13:01 2017 UTC
gpg:                using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <scott@atomicorp.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0  5FAD EE1B 0E6B 2D83 87B7

1
Il semble que l'option --verify attend le fichier de signature
niahoo

Je reçoisgpg: WARNING: "--show-keyring" is a deprecated option gpg: please use "--list-options show-keyring" instead
Dan Dascalescu
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.