公開鍵なしでファイルを検証するダウンロードタスクを作成したいのですが、ファイルをダウンロードして次のステップに適しているかどうか答えてみましょう。
私はlinux-4.12.7.tarr.gzとlinux-4.12.7.tarr.sign(https://www.kernel.org/signature.html)。
gpgはうまくいきます。
~# xz -cd linux-4.12.7.tar.xz | gpg --verify linux-4.12.7.tar.sign -
gpg: assuming signed data in 'linux-4.12.7.tar'
gpg: Signature made Sun 13 Aug 2017 04:35:18 CEST
gpg: using RSA key 647F28654894E3BD457199BE38DBBDC86092693E
gpg: Can't check signature: public key not found
status-fdを持つgpgには次のものがあります。
~# xz -cd linux-4.12.7.tar.xz | gpg --status-fd 1 --verify linux-4.12.7.tar.sign -
gpg: assuming signed data in 'linux-4.12.7.tar'
[GNUPG:] NEWSIG
gpg: Signature made Sun 13 Aug 2017 04:35:18 CEST
gpg: using RSA key 647F28654894E3BD457199BE38DBBDC86092693E
[GNUPG:] ERRSIG 38DBBDC86092693E 1 8 00 1502591718 9
[GNUPG:] NO_PUBKEY 38DBBDC86092693E
gpg: Can't check signature: public key not found
ブロックされました。公開鍵を自動的にダウンロードし、次の手順に適しているかどうかを確認できますか?次のステップがうまくいったら、そうでなければアラームが鳴り、停止します。
手動で実行しますが、キーを使用して自動的に実行するには?
~# gpg --keyserver hkp://keys.gnupg.net --recv-keys 38DBBDC86092693E
gpg: /root/.gnupg/trustdb.gpg: trustdb created
gpg: key 38DBBDC86092693E: public key "Greg Kroah-Hartman (Linux kernel stable release signing key) <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
良いとき:
~# xz -cd linux-4.12.7.tar.xz | gpg --verify linux-4.12.7.tar.sign -
gpg: Signature made dim. 13 août 2017 04:35:18 CEST
gpg: using RSA key 647F28654894E3BD457199BE38DBBDC86092693E
gpg: Good signature from "Greg Kroah-Hartman (Linux kernel stable release signing key) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 647F 2865 4894 E3BD 4571 99BE 38DB BDC8 6092 693E
最後にうまくいったら、次のステップに進みます。
よろしくお願いします。
ベストアンサー1
これを入力すると持っkeyserver-options auto-key-retrieveていませんが~/.gnupg/gpg.conf、確認/暗号化したいキーを取得できます。
しかし、この場合、これがなぜ必要なのかわかりません。ダウンロードした blob が提供する鍵を信頼すると、署名確認の目的が失われるからです。