求教关于开源软件的数字签名

mirnshi

还纠结呢，这说明签名有问题呗。

xiaominghope

回复 11# mirnshi


嗯，纠结着呢，呵呵

是从glibc官网上下载的，就觉得该不会有啥问题，回头我再找个其他的包试试

谢谢你一直回帖

suzhengchun

搞定没？

就是你那样用的：
我是这样用的，我不知道服务器，直接写的：

suzc@linux-opensuse:19:02:11:software$ gpg --verify wget-1.13.tar.xz.sig
gpg: 于 2011年08月23日 星期二 03时11分48秒 CST 创建的签名，使用 DSA，钥匙号 C033
gpg: 无法检查签名：没有公钥                                                     

suzc@linux-opensuse:19:19:53:software$ gpg --recv-keys C03363F4
gpg: 下载密钥‘C03363F4’，从 hkp 服务器 keys.gnupg.net
gpg: 密钥 C03363F4：公钥“Giuseppe Scrivano <gscrivano@gmail.com>”已导入
gpg: 需要 3 份勉强信任和 1 份完全信任，PGP 信任模型
gpg: 深度：0 有效性：  1 已签名：  0 信任度：0-，0q，0n，0m，0f，1u
gpg: 合计被处理的数量：1
gpg:           已导入：1

suzc@linux-opensuse:19:21:37:software$ gpg --verify wget-1.13.tar.xz.sig
gpg: 于 2011年08月23日 星期二 03时11分48秒 CST 创建的签名，使用 DSA，钥匙号 C03363F4
gpg: 完好的签名，来自于“Giuseppe Scrivano <gscrivano@gmail.com>”
gpg:               亦即“Giuseppe Scrivano <gscrivano@gnu.org>”
gpg:               亦即“Giuseppe Scrivano <giuseppe@southpole.se>”
gpg: 警告：这把密钥未经受信任的签名认证！
gpg:       没有证据表明这个签名属于它所声称的持有者。
主钥指纹： F9A0 3458 D353 F1B3 1B5A  345B 0791 AF8C C033 63F4
suzc@linux-opensuse:19:21:51:software$

TMD，搜索半天，没有一个靠谱的，Google首页前几个抄来抄去，真不要脸。。。

fanasy

Here are the compressed sources and a GPG detached signature

:
  http://ftp.gnu.org/gnu/grep/grep-2.11.tar.xz
  http://ftp.gnu.org/gnu/grep/grep-2.11.tar.xz.sig

Use a mirror for higher download bandwidth:
  http://ftpmirror.gnu.org/grep/grep-2.11.tar.xz
  http://ftpmirror.gnu.org/grep/grep-2.11.tar.xz.sig

Use a .sig file to verify that the corresponding file (without the
.sig suffix) is intact.  First, be sure to download both the .sig file
and the corresponding tarball.  Then, run a command like this:

  gpg --verify grep-2.11.tar.xz.sig

If that command fails because you don't have the required public key,
then run this command to import it:

  gpg --keyserver keys.gnupg.net --recv-keys 7FD9FCCB000BEEEE

and rerun the 'gpg --verify' command.