web-dev-qa-db-ja.com

有効なOpenPGPデータが見つからないため、PGP TarBallファイル署名キーの検証が失敗する

これは、インストールするバインドソフトウェアのキーを確認した方がよいと考えたのは初めてです。だから私はOpenPGPキーだと思うものをダウンロードしました...

$ wget ftp://ftp.isc.org/isc/bind9/9.9.4/bind-9.9.4.tar.gz.sha1.asc

...次に、このキーをこのように「インポート」しようとしました...

$ gpg --import bind-9.9.4.tar.gz.sha1.asc

...しかし、私はこのエラーメッセージを受け取ります:

gpg: no valid OpenPGP data found.
gpg: Total number processed: 0

私は何を間違えていますか?

ありがとう!

16
Red Cricket

コマンド構文はgpg bind-9.9.4.tar.gz.sha1.asc。もちろん、これにより公開鍵が見つからないというエラーが発生します。公開鍵はpgpkeys.mit.eduからダウンロードできます。

この記事 プロセスをステップごとに説明します。

8
Andrew Prentice

時々、 read これらのような言葉:「次のコマンド[…]を使用して、PGPまたはMD5署名[...]を使用して、ダウンロードしたファイルの整合性を検証することが不可欠です。」.

gpg --import KEYS
gpg --verify <software-bundle>.asc

あなたはすべきことを知っています。そして、すべてを読むことなく、あなたは考えるかもしれません:2つのコマンド、1つは署名ファイルを添付し、もう1つはダウンロードしたソフトウェアを検証します。そうではない。

KEYSはダウンロードされたascファイルではなく、KEYSという名前の特別なファイルを指します。これらは個別にダウンロードする必要があります。 「キーのダウンロード」の手順を参照してください。ご想像のとおり、リンクはascファイルを指していません。他の何かを指します。これらのキーは、ascファイル自体の整合性をチェックするために必要です。 2番目のコマンドは、両方のチェックを実行するようです。 (インポートされたキーを使用して)パラメーターとして指定されたascファイルを検証しますが、スタンドアロンascファイルで実行しようとすると、次のように表示されます。

gpg: no signed data
gpg: can't hash datafile: No data

したがって、ソフトウェアの整合性も検証すると思います。これは、同じディレクトリ内の末尾の.ascを除いて同じ名前のファイルであると予想されます。 (しかし、今のところこれが真実である証拠は見つかりませんでした。)

7
Matthias Ronge