저는 GnuPGP를 처음 접했고 테스트하려고 합니다.
ID 0FF405B2기본적으로 제가 한 일은 .net( ) 에서 Linux Mint 키를 다운로드하는 것이었습니다 pgp.mit.edu.
gpg --keyserver pgp.mit.edu --recv-keys 0FF405B2
내 키체인에 Clement Lefebvre가 보낸 것을 확인했습니다.
완료되면 Linux Mint 이미지에서 PGP 청크를 다운로드했습니다. (http://mirror.csclub.uwaterloo.ca/linuxmint/stable/17.3/sha256sum.txt.gpg)
기본적 으로 복사 해서 붙여넣고 lmgpg.sig.lmgpg.gpglmgpg.txt.gpgwget
그 후 해시 중 하나를 저장했습니다.
854d0cfaa9139a898c2a22aa505b919ddde34f93b04a831b3f030ffe4e25a8e3 linuxmint-17.3-cinnamon-64bit.iso
처럼 lmsum.txt.
그래서 모든 작업이 완료되면 파일의 해시나 ISO 자체를 사용하여 파일을 확인하려고 했습니다. 두 가지를 결합하면 다음과 같은 결과를 얻습니다.
gpg --verify lmgpg.sig lmsum.txt
gpg: Signature made Wed 06 Jan 2016 08:06:20 AM PST using DSA key ID 0FF405B2
gpg: BAD signature from "Clement Lefebvre (Linux Mint Package Repository v1) <[email protected]>"
이는 Debian 안정 이미지의 파일을 사용하여 위 작업을 반복할 때도 발생합니다.
말해 주세요. 제가 뭘 잘못했나요?
답변1
다양한 체크섬과 서명 파일을 통해 다운로드한 파일을 확인할 수 있으며,아니요사용자가 직접 다시 만든 파일입니다. 그래서 ISO 이미지와 검증 파일을 다운로드합니다.
wget http://mirror.csclub.uwaterloo.ca/linuxmint/stable/17.3/linuxmint-17.3-cinnamon-64bit.iso
wget http://mirror.csclub.uwaterloo.ca/linuxmint/stable/17.3/sha256sum.txt{.gpg,}
GPG 키를 키체인으로 가져온 다음 파일을 확인하세요.
sha256sum -c sha256sum.txt
누락된 파일에 대해 불평하지만 다운로드한 ISO를 확인하고
gpg --verify sha256sum.txt.gpg sha256sum.txt
그러면 서명이 양호하다는 것을 알 수 있습니다. 서명은오직서명된 정확한 파일에 유효합니다. 이를 사용하여 일부를 생성 sha256sum하고 이를 확인할 수 없습니다.
이 연습의 요점은 ISO가 sha256sumGnuPG 서명에 대해 올바른지 확인하고 SHA-256 체크섬 자체가 GnuPG 서명에 대해 올바른지 확인하는 것입니다. 결정적으로 마지막 부분은 Clement Lefebvre의 Linux Mint 키에 의존합니다. 다른 소스에서 얻을 수 있습니다. 키를 별도로 다운로드하세요.