このファイルは、本体が改竄されたもので無いと証明してくれるファイルで、インターネット越しにファイルをダウンロードする場合は、極力改竄チェックをするべきである。
今日は libevent をダウンロードしようと思ったのでそれを例に以下を実行、確認。
$ curl http://monkey.org/~provos/libevent-2.0.12-stable.tar.gz -o libevent-2.0.12-stable.tar.gz$ curl http://monkey.org/~provos/libevent-2.0.12-stable.tar.gz.asc -o libevent-2.0.12-stable.tar.gz.asc$ gpg --verify libevent-2.0.12-stable.tar.gz.ascgpg: Signature made Sun Jun 5 10:11:33 2011 JST using RSA key ID 8D29319Agpg: Can't check signature: public key not found# 公開鍵が無いので探す$ gpg --recv-key 8D29319Agpg: requesting key 8D29319A from hkp server subkeys.pgp.netgpg: key 165733EA: public key "Nick Mathewson" imported gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust modelgpg: depth: 0 valid: 3 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 3ugpg: Total number processed: 1gpg: imported: 1 (RSA: 1)# 公開鍵の確認$ gpg --list-keys 8D29319Apub 3072R/165733EA 2004-07-03uid Nick Mathewsonuid Nick Mathewsonuid Nick Mathewsonuid [jpeg image of size 3369]sub 3072R/8D29319A 2004-07-03sub 3072R/F25B8E5E 2004-07-03# ダウンロードしたファイルの検証$ gpg --verify libevent-2.0.12-stable.tar.gz.asc libevent-2.0.12-stable.tar.gzgpg: Signature made Sun Jun 5 10:11:33 2011 JST using RSA key ID 8D29319Agpg: Good signature from "Nick Mathewson" gpg: aka "Nick Mathewson" gpg: aka "Nick Mathewson" gpg: aka "[jpeg image of size 3369]"gpg: WARNING: This key is not certified with a trusted signature!gpg: There is no indication that the signature belongs to the owner.Primary key fingerprint: B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EASubkey fingerprint: EF00 F369 1387 FCC5 8CD6 8E13 9103 97D8 8D29 319A
0 件のコメント:
コメントを投稿