私はGnuPGPに初めてアクセスし、テストしようとしています。
ID 0FF405B2
基本的に私がしたことは、.net()からLinux Mintキーをダウンロードすることでしたpgp.mit.edu
。
gpg --keyserver pgp.mit.edu --recv-keys 0FF405B2
私のキーチェーンにClement Lefebvreが送ったことを確認しました。
完了したら、Linux MintイメージからPGPチャンクをダウンロードしました。 (http://mirror.csclub.uwaterloo.ca/linuxmint/stable/17.3/sha256sum.txt.gpg)
基本的にコピーして貼り付けてlmgpg.sig
。lmgpg.gpg
lmgpg.txt.gpg
wget
その後、ハッシュの1つを保存しました。
854d0cfaa9139a898c2a22aa505b919ddde34f93b04a831b3f030ffe4e25a8e3 linuxmint-17.3-cinnamon-64bit.iso
のようにlmsum.txt
。
そのため、すべての作業が完了したら、ファイルのハッシュまたはISO自体を使用してファイルを確認しようとしました。 2つを組み合わせると、次のような結果が得られます。
gpg --verify lmgpg.sig lmsum.txt
gpg: Signature made Wed 06 Jan 2016 08:06:20 AM PST using DSA key ID 0FF405B2
gpg: BAD signature from "Clement Lefebvre (Linux Mint Package Repository v1) <[email protected]>"
これは、Debian 安定イメージのファイルを使用して上記の操作を繰り返す場合にも発生します。
教えてください。私は何が間違っていましたか?
ベストアンサー1
さまざまなチェックサムと署名ファイルでダウンロードしたファイルを確認できます。いいえユーザーが直接再作成したファイルです。だからISOイメージと検証ファイルをダウンロードします。
wget http://mirror.csclub.uwaterloo.ca/linuxmint/stable/17.3/linuxmint-17.3-cinnamon-64bit.iso
wget http://mirror.csclub.uwaterloo.ca/linuxmint/stable/17.3/sha256sum.txt{.gpg,}
GPGキーをキーチェーンにインポートし、ファイルを確認してください。
sha256sum -c sha256sum.txt
不足しているファイルについて不満ですが、ダウンロードしたISOを確認してください。
gpg --verify sha256sum.txt.gpg sha256sum.txt
これで署名が良いことがわかります。署名はただ署名された正確なファイルに有効です。これを使用して一部を作成しsha256sum
て確認することはできません。
この練習のポイントは、ISOがsha256sum
GnuPG署名に対して正しいことを確認し、SHA-256チェックサム自体がGnuPG署名に対して正しいことを確認することです。決定的に最後の部分は、Clement LefebvreのLinux Mintキーに依存します。他のソースから入手できます。キーを別途ダウンロードしてください。