wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/cryptsetup-1.7.3.tar.xz
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/cryptsetup-1.7.3.tar.sign
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/sha256sums.asc
Shasum验证:OK
gpg --verify cryptsetup-1.7.3.tar.sign cryptsetup-1.7.3.tar.xz
输出不好:
gpg: Signature made Sun 30 Oct 2016 01:56:01 PM UTC using RSA key ID D93E98FC
gpg: BAD signature from "Milan Broz <gmazyland@gmail.com>"
然后
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/v1.7.3-ReleaseNotes
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/v1.7.3-ReleaseNotes.sign
gpg --verify v1.7.3-ReleaseNotes.sign v1.7.3-ReleaseNotes
这很好(尽管警告):
gpg: Signature made Sun 30 Oct 2016 01:56:09 PM UTC using RSA key ID D93E98FC
gpg: Good signature from "Milan Broz <gmazyland@gmail.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2A29 1824 3FDE 4664 8D06 86F9 D9B0 577B D93E 98FC
我在另一个网站上进行了另一个测试:
wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.0.30.tar.bz2
wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.0.30.tar.bz2.sig
一切也很好。
然后,我转到作者的博客(米兰·布罗兹(Milan Broz)的博客),但是下载链接导致了同一网站。
我尝试了一些以前的软件包,并遇到了相同的问题:
cryptsetup-1.7.1.tar.tar.sign with CryptSetup-1.7.1.tar.gz&amp;cryptsetup-1.7.1.tar.xz
cryptsetup-1.7.2.2.tar.sign with CryptSetup-1.7.2.tar.gz&amp;cryptsetup-1.7.2.tar.xz
如果我想念这里的东西,请告诉我什么。否则,我是否可以正确签名此软件的版本?
thanx人。
有一个地方可以正确签名的该软件的版本吗?
尝试从官方网站上尝试:https://gitlab.com/cryptsetup/cryptsetup(现在 - 2017年11月,9个月后,1.7.5或2.0-RC1)
这很好(尽管警告):
预期警告。请参阅"检查PGP签名并安装Veracrypt 1.17":
"
WARNING: This key is not certified with a trusted signature! There is no indication that the signature belongs to the owner.
"是指veracrypt公共密钥不是由您或您已签署的钥匙的任何人签署的,因此您与Veracrypt开发人员之间没有直接的信任。
这是预期的。