[求助]怎么使用这个sign文件？

nothing9

在debian下载目录有这样一个文件，MD5SUMS.sign

内容为：

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQBDrVBOfDt5cIjHwfcRAsAbAJoDkRbXbKE3idjR2nsVjD9BHv7opgCgjRP0
4m4IRJPquMyir56ZYkNcGw8=
=r73d
-----END PGP MESSAGE-----


请问：在默认安装的Debian Sarge下如何使用上面的这个 sign 文件？这个sign是否是用来验证下载的 debian 镜像文件的完整性和未经改动？需要安装什么软件吗？例如：apt-get install gpg

nothing9

找到这样一段话，还是不太明白。一楼的sign是公匙吗？

Using GnuPG, verifying a signature should look like this:

  % gpg --verify linux-2.3.9.tar.gz.sign linux-2.3.9.tar.gz
  gpg: Signature made Mon Oct  9 23:48:38 2000 PDT using DSA key ID 517D0F0E
  gpg: Good signature from "Linux Kernel Archives Verification Key <ftpadmin@kernel.org>"

Unless you have taken explicit steps to build a trust path to the Linux Kernel Archives Verification Key, you should expect to see a warning message akin to:

  Could not find a valid trust path to the key.  Let's see whether we
  can assign some missing owner trust values.
  
  No path leading to one of our keys found.
  
  gpg: WARNING: This key is not certified with a trusted signature!
  gpg:          There is no indication that the signature belongs to the owner.

after gpg has verified the signature. You should not be alarmed by this warning.

Before you can do this, you must gpg --import the key below. This key is also available from most common PGP key servers, such as hkp://wwwkeys.pgp.net/0x517d0f0e ( http://wwwkeys.pgp.net:11371/pks ... ;search=0x517D0F0E). To import it from the keyserver using GnuPG, do:

  gpg --keyserver wwwkeys.pgp.net --recv-keys 0x517D0F0E

The previously used PGP 2.6 key has been revoked; see below for the revokation certificate.

nothing9

在 debian 参考手册中找到这样一段话，基本上知道怎么用这个命令。

使用 GnuPG

文件处理：
     $ gpg  [options]  command  [args]
     $ gpg {--armor|-a} {--sign|-s} file # 对 file 签名，并保存在文本文件 file.asc 中
     $ gpg --clearsign file              # clear-sign 信息
     $ gpg --clearsign --not-dash-escaped patchfile  # clear-sign patchfile
     $ gpg --verify file                 # 校验 clear-signed file
     $ gpg -o file.sig {-b|--detach-sig} file # create detached signature
     $ gpg --verify file.sig file        # 用 file.sig 校验 file
     $ gpg -o crypt_file {--recipient|-r} name {--encrypt|-e} file
             # public-key encryption intended for name
     $ gpg -o crypt_file {--symmetric|-c} file # 对称加密
     $ gpg -o file --decrypt crypt_file  # 解密

14.3 管理 GnuPG

密钥管理：
     $ gpg --edit-key user_ID               # "help" 获得帮助，交互式
     $ gpg -o file --exports                # 将所有密钥导出到 file
     $ gpg --imports file                   # 从 file 导出所有密钥
     $ gpg --send-keys user_ID              # 将 user_ID 的密钥发送给 keyserver
     $ gpg --recv-keys user_ID              # 从 keyserver 接收 user_ID 的密钥
     $ gpg --list-keys user_ID              # 列出 user_ID 的密钥
     $ gpg --list-sigs user_ID              # 列出 user_ID 的 sig
     $ gpg --check-sigs user_ID             # 检查 user_ID 的 sig
     $ gpg --fingerprint user_ID            # 检查 user_ID 的指纹
     $ gpg --list-sigs | grep '^sig' | grep '[User id not found]' \
       | awk '{print $2}' | sort -u | xargs gpg --recv-keys # 获取未知的密钥
       # 更新所有未知 sigs.
     $ gpg --refresh-keys                   #更新本地 keyring

Trust 代码：
     -         没指定任何 ownertrust / 还没进行计算。
     e         Trust 计算失败。
     q         没有足够的信息进行计算。
     n         该密钥不可信。
     m         最低限度的可信（Marginally trusted）。
     f         完全可信（Fully trusted）。
     u         绝对可信（Ultimately trusted）。

下面的操作将我的 key “A8061F32” 上载到公共 keyserver hkp://subkeys.pgp.net：

     $ gpg --keyserver hkp://subkeys.pgp.net --send-keys A8061F32

thumb-xiaowei

参考
http://www.linuxsir.cn/bbs/showthread.php?t=172026
第 71 帖  标题: sign 文件验证软件包（实例）