要安装rvm,我使用rvm网站(https://rvm.io/rvm/install)上提供的命令来安装rvm的稳定版本:
\curl -sSL https://get.rvm.io | bash -s stable --ruby
我有点担心我从gpg得到的警告:"没有迹象表明签名属于所有者。"这个gpg是不是太挑剔了?主键指纹(409B 6B17 96C2 7546 2A17 0311 3804 BB82 D39D C0E3)与Michal Papis相匹配,以便重新确保。
但是为什么gpg会警告"此密钥未通过可信签名认证!没有迹象表明签名属于所有者"?这让我想起了证书颁发机构(CA)并且没有支付CA,但是gg的工作方式不同吗?
安装期间的输出:
Downloading https://github.com/rvm/rvm/archive/1.26.11.tar.gz
Downloading https://github.com/rvm/rvm/releases/download/1.26.11/1.26.11.tar.gz.asc
gpg: Signature made Mon Mar 30 14:52:13 2015 PDT using RSA key ID BF04FF17
gpg: Good signature from "Michal Papis (RVM signing) <mpapis@gmail.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 409B 6B17 96C2 7546 2A17 0311 3804 BB82 D39D C0E3
Subkey fingerprint: 62C9 E5F4 DA30 0D94 AC36 166B E206 C29F BF04 FF17
GPG verified '/Users/MyHome/.rvm/archives/rvm-1.26.11.tgz'
答案 0 :(得分:2)
GnuPG不仅可以验证哈希值,还可以帮助您验证签名者是谁。
此行告诉您,签名有效(文件未被取消)并且是使用某个密钥创建的。
gpg: Good signature from "Michal Papis (RVM signing) <mpapis@gmail.com>"
在本地拥有密钥并不能帮助您确定它真正属于谁:
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 409B 6B17 96C2 7546 2A17 0311 3804 BB82 D39D C0E3
GnuPG需要从您拥有的密钥到要验证的密钥的信任路径,类似于X.509的信任链(在HTTPS中使用...)。 / p>
手动验证密钥的基本方法是将其指纹与TLS安全下载页面(https://rvm.io/rvm/install)上提供的指纹进行比较,希望这些页面相同(不关心是否有空格)中间,这只是为了可读性)。这样,您将不得不信任该网页,但不关心相当复杂的OpenPGP信任理念。使用OpenPGP信任网来验证密钥所有权,您可能更确定发行者,您必须自己决定在验证中投入多少精力。
答案 1 :(得分:1)
没关系。我并不认为您实际上需要使用SSL,但如果按照rvm页面上的说明进行操作,请确保先添加密钥。
gpg --keyserver hkp://keys.gnupg.net --recv-keys 409B6B1796C275462A1703113804BB82D39DC0E3
\curl -sSL https://get.rvm.io | bash -s stable