Comment vérifier un fichier à l'aide d'un fichier de signature ASC?

À titre d'exemple, ce projet propose un *.ascfichier avec une signature PGP pour vérifier le contenu du téléchargement (par opposition à une somme de contrôle, vous pouvez voir la colonne vide): https://ossec.github.io/downloads.html

Comment utiliser ce fichier? J'ai essayé gpg --verifyet d'autres variantes, mais il semble correspondre au nom du fichier, mais le nom du fichier tel qu'il est téléchargé n'est pas exactement le même ... je ne sais pas comment il est censé fonctionner.

— user8897013
source

Téléchargez le fichier clé:

wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc

Inspectez le fichier de clés pour confirmer qu'il a EE1B0E6B2D8387B7comme identifiant de clé.

gpg --keyid-format long --list-options show-keyring OSSEC-ARCHIVE-KEY.asc

Si c'est correct, importez la clé:

gpg --import OSSEC-ARCHIVE-KEY.asc

Téléchargez le logiciel

wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz

Téléchargez le fichier de signature

https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc

Vérifiez-le

gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz

Production

gpg: Signature made Sat Dec 23 16:13:01 2017 UTC
gpg:                using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <scott@atomicorp.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0  5FAD EE1B 0E6B 2D83 87B7

— Евгений Новиков
source

Il semble que l'option --verify attend le fichier de signature

— niahoo

Je reçoisgpg: WARNING: "--show-keyring" is a deprecated option gpg: please use "--list-options show-keyring" instead

— Dan Dascalescu