wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/cryptsetup-1.7.3.tar.xz
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/cryptsetup-1.7.3.tar.sign
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/sha256sums.asc
shasum验证:好的
gpg --verify cryptsetup-1.7.3.tar.sign cryptsetup-1.7.3.tar.xz
输出不好:
gpg: Signature made Sun 30 Oct 2016 01:56:01 PM UTC using RSA key ID D93E98FC
gpg: BAD signature from "Milan Broz <gmazyland@gmail.com>"
然后
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/v1.7.3-ReleaseNotes
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/v1.7.3-ReleaseNotes.sign
gpg --verify v1.7.3-ReleaseNotes.sign v1.7.3-ReleaseNotes
这很好(虽然警告):
gpg: Signature made Sun 30 Oct 2016 01:56:09 PM UTC using RSA key ID D93E98FC
gpg: Good signature from "Milan Broz <gmazyland@gmail.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2A29 1824 3FDE 4664 8D06 86F9 D9B0 577B D93E 98FC
我在另一个网站上做了另一个测试:
wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.0.30.tar.bz2
wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.0.30.tar.bz2.sig
一切都很好。
然后我去了作者的博客(Milan Broz的博客),但下载链接指向同一个网站。
我尝试了一些以前的软件包并遇到了同样的问题:
cryptsetup-1.7.1.tar.sign with cryptsetup-1.7.1.tar.gz&amp; cryptsetup-1.7.1.tar.xz
cryptsetup-1.7.2.tar.sign with cryptsetup-1.7.2.tar.gz&amp; cryptsetup-1.7.2.tar.xz
如果我在这里错过了什么,请告诉我什么。 否则,我有没有可以正确签署此软件版本的地方?
thanx伙计。
答案 0 :(得分:0)
有没有我可以正确签署此软件版本的地方?
从官方网站上试试:https://gitlab.com/cryptsetup/cryptsetup(现在 - 2017年11月,9个月后,1.7.5或2.0-rc1)
这很好(虽然警告):
预计会发出警告。请参阅&#34; Check PGP Signature and Install Veracrypt 1.17&#34;:
&#34;
WARNING: This key is not certified with a trusted signature! There is no indication that the signature belongs to the owner.&#34;意味着Veracrypt公钥不是由您或您签署密钥的任何人签署的,因此您与Veracrypt开发人员之间没有直接的信任关系。
这是预期的。