Linux下使用.sig簽名文件驗證簽名
網上一些下載資源會同時提供下載資源名稱加".sig"為文件名的分離簽名文件,用來校驗下載資源的完整性。
以grub為例,當前最新版本的grub為2.00版本,可從 ftp://ftp.gnu.org/gnu/grub/ 下載,有兩個文件:grub-2.00.tar.gz.sig和grub-2.00.tar.gz。
驗證方法:
$ gpg --verify grub-2.00.tar.gz.sig grub-2.00.tar.gz
gpg: 於 2012年06月28日 星期四 08時11分54秒 CST 創建的簽名,使用 DSA,鑰匙號 E82E4209
gpg: 無法檢查簽名:找不到公鑰
這說明找不到對應的公鑰,同時會提示當前驗證的鑰匙號為 E82E4209,根據這個鑰匙號導入公鑰:
$ gpg --recv-keys E82E4209
gpg: 下載密鑰‘E82E4209’,從 hkp 服務器 keys.gnupg.net
gpg: 密鑰 E82E4209:公鑰“Vladimir 'phcoder' Serbinenko <phcoder@gmail.com>”已導入
gpg: 沒有找到任何絕對信任的密鑰
gpg: 合計被處理的數量:1
gpg: 已導入:1
$ gpg --verify --verbose grub-2.00.tar.gz.sig grub-2.00.tar.gz
gpg: 於 2012年06月28日 星期四 08時11分54秒 CST 創建的簽名,使用 DSA,鑰匙號 E82E4209
gpg: 使用 PGP 信任模型
gpg: 完好的簽名,來自於“Vladimir 'phcoder' Serbinenko <phcoder@gmail.com>”
gpg: 警告:這把密鑰未經受信任的簽名認證!
gpg: 沒有證據表明這個簽名屬於它所聲稱的持有者。
主鑰指紋: E53D 497F 3FA4 2AD8 C9B4 D1E8 35A9 3B74 E82E 4209
gpg: 二進制 簽名,散列算法 SHA512