.sig फ़ाइल के साथ डाउनलोड की गई फ़ाइल को कैसे सत्यापित करें?

Question

जब मैं जीसीसी डाउनलोड करता हूं, तो इसमें .sig फ़ाइल भी होती है, और मुझे लगता है कि यह डाउनलोड की गई फ़ाइल को सत्यापित करने के लिए प्रदान किया जाता है। (मैंने here से जीसीसी डाउनलोड किया)।

लेकिन मुझे पता नहीं लगा कि मुझे इसका उपयोग कैसे करना चाहिए। मैंने gpg की कोशिश की, लेकिन यह सार्वजनिक कुंजी के बारे में शिकायत करता है।

[root@localhost src]# gpg --verify gcc-4.7.2.tar.gz.sig gcc-4.7.2.tar.gz 
gpg: Signature made Thu 20 Sep 2012 07:30:44 PM KST using DSA key ID C3C45C06 
gpg: Can't check signature: No public key 
[root@localhost src]# 

मैं .sig फ़ाइल के साथ डाउनलोड की गई फ़ाइल की पुष्टि कर सकते कैसे?

Answer 1

इस http://gcc.gnu.org/mirrors.html के अनुसार जो Jakub Jelinek और मान्य होना चाहिए। मुझे नहीं पता कि आपको अपनी सार्वजनिक कुंजी कहां मिल जाएगी।

Answer 2

यह अन्य एवेन्यू विशेष रूप से जीएनयू परियोजनाओं (उदाहरण के लिए Octave) को सत्यापित करने के लिए उपयोगी है क्योंकि उनके हस्ताक्षर द्वारा अनुरोध की गई कुंजी किसी भी कुंजी सर्वर में नहीं मिल सकती है।

http://ftp.gnu.org/README से

भी हस्ताक्षर फ़ाइलें, जो के GPG हस्ताक्षर अलग होते हैं इसके बाद के संस्करण फ़ाइलें, स्वचालित रूप से एक ही स्क्रिप्ट है कि उन्हें उत्पन्न द्वारा हस्ताक्षर किए गए हैं।

आप से कीरिंग फ़ाइल के साथ GNU परियोजना फाइलों के लिए हस्ताक्षर को सत्यापित कर सकते हैं:

https://ftp.gnu.org/gnu/gnu-keyring.gpg

कीरिंग फ़ाइल के साथ एक निर्देशिका में, स्रोत फ़ाइल को सत्यापित करने और हस्ताक्षर फाइल करने के लिए, उपयोग करने के लिए आदेश है:

$ gpg --verify --keyring ./gnu-keyring.gpg foo.tar.xz.sig

Answer 3

आपको दिए गए कुंजी आईडी के लिए सार्वजनिक कुंजीसेवर खोजना होगा: आपके मामले में ID C3C45C06 अपने स्थानीय कीस्टोर में मिली कुंजी आयात करें और इसके बाद सत्यापन ठीक होना चाहिए। मैं उबंटू 12.04 का उपयोग करता हूं और यह सीहोरसे कुंजी प्रबंधन सॉफ्टवेयर के साथ आता है। कुंजी आयात करने के बाद

~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2 
gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784 
gpg: Can't check signature: public key not found 

मैं यह देख रहा था: कुंजी आयात इससे पहले कि मैं यह देख रहा था C3C45C06

तीन चरणों में किया जा सकता है:

~/Downloads$ gpg --verify --keyring ./gnu-keyring.gpg icecat-31.5.0.en-US.linux-x86_64.tar.bz2.sig icecat-31.5.0.en-US.linux-x86_64.tar.bz2 
gpg: Signature made 9.03.2015 (пн) 22,35,52 EET using RSA key ID D7E04784 
gpg: Good signature from "Ruben Rodriguez (GNU IceCat releases key) <ruben@gnu.org>" 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg:   There is no indication that the signature belongs to the owner. 
Primary key fingerprint: A573 69A8 BABC 2542 B5A0 368C 3C76 EED7 D7E0 4784 

Answer 4

आप सार्वजनिक कुंजी आयात करने की आवश्यकता ।

$ gpg gcc-4.7.2.tar.gz.sig 
gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06 
gpg: Can't check signature: No public key 

2) कुंजी सर्वर से सार्वजनिक कुंजी आयात करें:

1) सार्वजनिक कुंजी आईडी पाते हैं। मुख्य सर्वर चुनने के लिए आमतौर पर इसकी आवश्यकता नहीं होती है, लेकिन इसे --keyserver <server> के साथ किया जा सकता है।

$ gpg gcc-4.7.2.tar.gz.sig 
gpg: Signature made Čt 20. září 2012, 12:30:44 CEST using DSA key ID C3C45C06 
gpg: Good signature from "Jakub Jelinek <jakub@redhat.com>" [unknown] 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg:   There is no indication that the signature belongs to the owner. 
Primary key fingerprint: 33C2 35A3 4C46 AA3F FB29 3709 A328 C3A2 C3C4 5C06 

उत्पादन कहना चाहिए "अच्छा हस्ताक्षर": Keyserver examples.

$ gpg --recv-key C3C45C06 
gpg: requesting key C3C45C06 from hkp server keys.gnupg.net 
gpg: key C3C45C06: public key "Jakub Jelinek <jakub@redhat.com>" imported 
gpg: no ultimately trusted keys found 
gpg: Total number processed: 1 
gpg:    imported: 1 

3) हस्ताक्षर सत्यापित।

---

GPG: चेतावनी: यह कुंजी एक विश्वसनीय हस्ताक्षर के साथ प्रमाणित नहीं है!

एक और सवाल के लिए है;)