Chinaunix

标题: 求教关于开源软件的数字签名 [打印本页]

作者: xiaominghope 时间: 2011-03-17 11:22
标题: 求教关于开源软件的数字签名
一直没搞明白开源代码的数字签名如何使用，如：glibc源码
下载是包含两个文件：
1. tar.gz -- 源码包
2. .sig -- 数字签名

如何使用这个sig文件呢？不签名是不能解压的

请知道的兄弟给个使用示例吧，就用glibc，网上也查了些资料，但一直还是不太明白，感谢

PS：请不要仅回复个“去搜索”之类的;
.bz2的包是可以解压，但我想知道sig怎么用来验证

再次感谢

作者: xiaominghope 时间: 2011-03-17 11:32
方便兄弟们帮我看问题

给个glibc的链接：

ftp://ftp.gnu.org/gnu/glibc/

预先谢谢各位

作者: mirnshi 时间: 2011-03-17 14:53
gnupg or pgp

作者: xiaominghope 时间: 2011-03-18 09:33
回复 3# mirnshi

您能说得更详细一些么，我之前也浏览了man gpg，搜了一些方法，但尝试之后只是得到'Bad signature...'类似字样

我不认为是sig文件的问题，应该还是我使用不当，您能用glibc给示例一下吗，链接就在上面，谢谢

作者: mirnshi 时间: 2011-03-18 10:03
gpg --verify xxx.sig xxx.tgz

作者: xiaominghope 时间: 2011-03-18 13:08
回复 5# mirnshi

$ gpg --verify glibc-2.13.tar.gz.sig glibc-2.13.tar.gz
gpg: Signature made Tue 01 Feb 2011 17:00:21 CST using DSA key ID 6F00984E
gpg: BAD signature from "Andreas Schwab <schwab@redhat.com>"

在这之前第一次输入是显示找不到公钥

然后我用了$ gpg --keyserver=x-hkp://pgp.mit.edu --recv-keys 6F00984E
之后再次 $ gpg --verify glibc-2.13.tar.gz.sig glibc-2.13.tar.gz

就得到了以上 BAD signature 提示

作者: mirnshi 时间: 2011-03-18 14:18

回复 mirnshi

$ gpg --verify glibc-2.13.tar.gz.sig glibc-2.13.tar.gz
gpg: Signature m ...
xiaominghope 发表于 2011-03-18 13:08

需要导入 6F00984E 的公钥

作者: xiaominghope 时间: 2011-03-18 14:31
回复 7# mirnshi

$ gpg --recv-keys 6F00984E
就已经导入公钥了吧？

没有公钥要改是这样的提示吧？
gpg: Can't check signature: public key not found

再次谢谢

作者: xiaominghope 时间: 2011-03-20 11:48
自己顶一下

作者: xiaominghope 时间: 2011-03-21 11:35
再顶一下，谢谢

作者: mirnshi 时间: 2011-03-21 15:41
还纠结呢，这说明签名有问题呗。

作者: xiaominghope 时间: 2011-03-21 15:52
回复 11# mirnshi

嗯，纠结着呢，呵呵

是从glibc官网上下载的，就觉得该不会有啥问题，回头我再找个其他的包试试

谢谢你一直回帖

作者: suzhengchun 时间: 2012-03-11 19:28
本帖最后由 suzhengchun 于 2012-03-11 20:17 编辑

搞定没？

就是你那样用的：
我是这样用的，我不知道服务器，直接写的：

suzc@linux-opensuse:19:02:11:software$ gpg --verify wget-1.13.tar.xz.sig
gpg: 于 2011年08月23日星期二 03时11分48秒 CST 创建的签名，使用 DSA，钥匙号 C033
gpg: 无法检查签名：没有公钥

suzc@linux-opensuse:19:19:53:software$ gpg --recv-keys C03363F4
gpg: 下载密钥‘C03363F4’，从 hkp 服务器 keys.gnupg.net
gpg: 密钥 C03363F4：公钥“Giuseppe Scrivano <gscrivano@gmail.com>”已导入
gpg: 需要 3 份勉强信任和 1 份完全信任，PGP 信任模型
gpg: 深度：0 有效性：  1 已签名：  0 信任度：0-，0q，0n，0m，0f，1u
gpg: 合计被处理的数量：1
gpg:          已导入：1

suzc@linux-opensuse:19:21:37:software$ gpg --verify wget-1.13.tar.xz.sig
gpg: 于 2011年08月23日星期二 03时11分48秒 CST 创建的签名，使用 DSA，钥匙号 C03363F4
gpg: 完好的签名，来自于“Giuseppe Scrivano <gscrivano@gmail.com>”
gpg:             亦即“Giuseppe Scrivano <gscrivano@gnu.org>”
gpg:             亦即“Giuseppe Scrivano <giuseppe@southpole.se>”
gpg: 警告：这把密钥未经受信任的签名认证！
gpg:    没有证据表明这个签名属于它所声称的持有者。
主钥指纹： F9A0 3458 D353 F1B3 1B5A  345B 0791 AF8C C033 63F4
suzc@linux-opensuse:19:21:51:software$

TMD，搜索半天，没有一个靠谱的，Google首页前几个抄来抄去，真不要脸。。。

作者: fanasy 时间: 2012-03-11 20:23
Here are the compressed sources and a GPG detached signature

:
  http://ftp.gnu.org/gnu/grep/grep-2.11.tar.xz
  http://ftp.gnu.org/gnu/grep/grep-2.11.tar.xz.sig

Use a mirror for higher download bandwidth:
  http://ftpmirror.gnu.org/grep/grep-2.11.tar.xz
  http://ftpmirror.gnu.org/grep/grep-2.11.tar.xz.sig

Use a .sig file to verify that the corresponding file (without the
.sig suffix) is intact.  First, be sure to download both the .sig file
and the corresponding tarball.  Then, run a command like this:

  gpg --verify grep-2.11.tar.xz.sig

If that command fails because you don't have the required public key,
then run this command to import it:

  gpg --keyserver keys.gnupg.net --recv-keys 7FD9FCCB000BEEEE

and rerun the 'gpg --verify' command.

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)