例として、このプロジェクトは*.asc
ダウンロードの内容を確認するためのPGP署名付きのファイル(チェックサムではなく、空の列が表示されます): https://ossec.github.io/downloads.html
このファイルはどのように使用しますか?私は試した gpg --verify
およびその他の亜種ですが、ファイルまでの名前と一致しているようですが、ダウンロードされたときのファイル名は完全に同じではありません...どのように動作するかは不明です。
wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc
EE1B0E6B2D8387B7
をそのキーIDとして。gpg --keyid-format long --list-options show-keyring OSSEC-ARCHIVE-KEY.asc
gpg --import OSSEC-ARCHIVE-KEY.asc
wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz
https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc
gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz
出力
gpg: Signature made Sat Dec 23 16:13:01 2017 UTC
gpg: using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0 5FAD EE1B 0E6B 2D83 87B7