我刚刚下载了最新版的MediaWiki,想要查看它的真实性。他们在下载页面http://www.mediawiki.org/wiki/Download上提供了一个签名文件。如何在Linux上使用gpg命令?
答案 0 :(得分:1)
我在Ubuntu 12.04上使用的过程如下
(1)下载mediawiki代码
wget http://download.wikimedia.org/mediawiki/1.20/mediawiki-1.20.2.tar.gz
(2)下载签名文件
wget http://download.wikimedia.org/mediawiki/1.20/mediawiki-1.20.2.tar.gz.sig
(3)获取mediawiki签名者的公钥
点击GPG键链接,然后点击“将密钥作为文本包”,或者直接转到:https://www.mediawiki.org/keys/keys.txt。
将文件另存为keys.txt
(4)导入公钥
gpg --import keys.txt
(5)验证文件
gpg --verify mediawiki-1.20.2.tar.gz.sig
这是成功的,但我确实收到以下警告:
gpg:警告:此密钥未通过可信签名认证!
gpg:没有迹象表明签名属于所有者。
由于我从我认为可信赖的来源下载密钥,所以我并不担心这一点。必须有一种方法可以将密钥标记为可信。