如何验证linux tarball的完整性?

时间:2015-06-08 01:00:44

标签: linux download pgp

可以使用.sign文件验证来自https://www.kernel.org/的Linux版本的tarball。没有关于如何在网站或tarball中README验证tarball的信息。

1 个答案:

答案 0 :(得分:2)

以下内容如果来自kernel.org网站上的说明Linux kernel releases PGP signatures。其中说(部分),首先(并且只有一次)安装公钥,如

$ gpg --keyserver hkp://keys.gnupg.net --recv-keys 6092693E

然后你可以验证像

这样的签名 
$ xz -cd linux-3.1.5.tar.xz | gpg --verify linux-3.1.5.tar.sign -

预期输出类似

gpg: Signature made Fri 09 Dec 2011 12:16:46 PM EST using RSA key ID 6092693E
gpg: Good signature from "Greg Kroah-Hartman
     (Linux kernel stable release signing key) <greg@kroah.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 647F 2865 4894 E3BD 4571  99BE 38DB BDC8 6092 693E
相关问题
最新问题