我刚刚下载了最新版本的 MediaWiki,并想检查它的真实性。他们在下载页面http://www.mediawiki.org/wiki/Download上提供了一个签名文件。在 Linux 上如何将它与 gpg 命令一起使用?
问问题
928 次
1 回答
2
我在 Ubuntu 12.04 上使用的流程如下
(1) 下载 mediawiki 代码
wget http://download.wikimedia.org/mediawiki/1.20/mediawiki-1.20.2.tar.gz
(2) 下载签名文件
wget http://download.wikimedia.org/mediawiki/1.20/mediawiki-1.20.2.tar.gz.sig
(3) 获取 mediawiki 签名者的公钥
单击 GPG 密钥链接,然后单击“以文本包形式获取密钥”,或者直接访问:https ://www.mediawiki.org/keys/keys.txt 。
将文件另存为keys.txt
(4) 导入公钥
gpg --import keys.txt
(5) 验证文件
gpg --verify mediawiki-1.20.2.tar.gz.sig
这是成功的,但是我确实收到了以下警告:
gpg: WARNING: This key is not certified with a trusted signature!<br />
gpg: There is no indication that the signature belongs to the owner.
由于我从我认为是受信任的来源下载了密钥,因此我并不担心这一点。必须有一种方法可以将密钥标记为可信。
于 2013-01-05T14:11:38.310 回答