Vous essayez de vérifier une signature de téléchargement avec PGP, mais n'obtenez «aucune donnée signée» lors de la transmission du fichier .asc?

1

J'ai essayé les étapes suivantes de Vérification des signatures sur le projet Tor:

gpg.exe --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

  imported: 1

gpg.exe - empreinte digitale 0x4E2C6E8793298290

  pub   4096R/93298290 2014-12-15 [expires: 2020-08-24]
  Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
  uid       [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
  sub   4096R/D9FF06E2 2018-05-26 [expires: 2020-09-12]

gpg.exe --verify C: \ Utilisateurs \ Cyn \ Bureau \ torbrowser-install-win64-8.0.4_en-US.exe.asc

  gpg: no signed data
  gpg: can't hash datafile: No data

Le fichier ressemble à ceci:

----- COMMENCEZ SIGNATURE PGP -----

bla bla bla / E = oakm

----- FIN PGP SIGNATURE -----

Alors qu'est-ce que j'ai mal fait?

signature  pgp 
Dr-Bracket
source

Réponses:

3

C'est une signature détachée et vous avez besoin des données.

Les signatures de paquets Tor, comme beaucoup d'autres signatures de paquets utilisant PGP / GPG que vous trouverez sur le net, sont ce que PGP / GPG appelle une signature détachée - les données sont dans un fichier (souvent volumineux) et la signature dans une seconde. , fichier séparé (petit). C'est pourquoi il existe deux liens de téléchargement (ou boutons): un pour le progiciel réel et un pour la signature séparée / détachée. Afin de vérifier une signature détachée sur des données, vous avez également besoin des données (et de la clé publique). par exemple pour Windows, vous avez besoin

torbrowser-install-win64-8.0.4_en-US.exe -- the (relevant) data file 
torbrowser-install-win64-8.0.4_en-US.exe.asc -- the signature

Notez que les noms de fichiers ont la même base, mais que la signature a été .ascajoutée à la fin. Si vous exécutez gpg[.exe] --verify file.ascoù se file.asctrouve une signature détachée, gpg recherche automatiquement les données contenues file- et échoue si elles ne sont pas présentes. (De même pour file.siget filepour une signature binaire aka "non blindée".)

La page que vous associez indique en fait "Si vous avez téléchargé le package et sa signature sur votre bureau ...", notez le package ET sa signature .

Si vous avez le fichier de données mais sous un nom différent (y compris un répertoire différent) ou sous le nom par défaut mais que vous souhaitez être explicite (ce que le manuel de GPG recommande désormais), spécifiez les deux noms de fichier:

 gpg[.exe] --verify sigfile.asc datafile
dave_thompson_085
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.