我是密码学的新手,我对主密钥指纹有疑问:
我已经下载了Apache Maven,正如他们在下载页面中所说,我已经使用gpg验证了公钥的签名:
user$ gpg --verify apache-maven-3.2.3-bin.tar.gz.asc apache-maven-3.2.3-bin.tar.gz
gpg: Signature made Tue Aug 12 00:59:35 2014 MSK using DSA key ID BB617866
gpg: Good signature from "Someone <email@maven.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: FB11 D4BB 7B24 4678 337A AD8B C7BF 26D0 BB61 7866
现在,我从 http://www.apache.org/dev/release-signing#fingerprint 中读到,主密钥指纹是密钥的摘要,更容易阅读和比较,但我的问题是:
我应该如何比较它?我的意思是,我应该在哪里找到应该比较指纹"FB11 D4BB 7B24 4678 337A AD8B C7BF 26D0 BB61 7866"的对应物?
Maven开发人员的公钥链接在下载页面的顶部。
它仅包含短 ID,这些 ID 不足以验证密钥,但可以帮助您查找使用了哪个密钥。为此,请删除此密钥(在验证签名期间可能已从密钥服务器获取):
gpg --delete-keys [keyid]
现在准备导入此密钥,方法是将与上面给出的密钥 ID 匹配的公钥块复制到您选择的文件中。此文件之后应包含:
-----BEGIN PGP PUBLIC KEY BLOCK-----
[snip]
-----END PGP PUBLIC KEY BLOCK-----
现在使用 gpg --import [file] 导入。现在运行gpg --fingerprint [keyid],它应该打印签名验证输出中给出的相同指纹。