16

This is the first time I figured I had better check the keys of the bind software I want to install. So I downloaded what I think is a OpenPGP key ...

$ wget ftp://ftp.isc.org/isc/bind9/9.9.4/bind-9.9.4.tar.gz.sha1.asc

... then I tried to "import" this key like this ...

$ gpg --import bind-9.9.4.tar.gz.sha1.asc

... but I get this error message:

gpg: no valid OpenPGP data found.
gpg: Total number processed: 0

What am I doing wrong?

Thanks!

4

2 回答 2

8

命令语法是gpg bind-9.9.4.tar.gz.sha1.asc. 当然,这会导致找不到公钥的错误。您可以从 pgpkeys.mit.edu 下载公钥。

本文将逐步解释该过程。

于 2013-09-23T20:35:16.763 回答
7

有时,您会读到这样的文字:“您必须使用 PGP 或 MD5 签名 [...] 使用以下命令 [...] 验证下载文件的完整性”。

gpg --import KEYS
gpg --verify <software-bundle>.asc

你知道你应该这样做。不读全部,你可能会想:两个命令,一个是附加签名文件,一个是验证下载的软件。它不是。

KEYS不是指下载的asc文件,而是指一个KEYS需要单独下载的特殊文件。请参阅“下载密钥”步骤。该链接没有像您想象的那样指向 asc 文件。它指向别的东西。需要这些 KEYS 来检查 asc 文件本身的完整性。第二个命令似乎同时执行了这两项检查。它验证作为参数给出的 asc 文件(使用导入的密钥),但如果您尝试在独立的 asc 文件上运行它,它会说:

gpg: no signed data
gpg: can't hash datafile: No data

所以我认为它也验证了软件的完整性,它预计是一个同名文件,除了.asc在同一目录中的拖尾。(但我现在还没有找到证明这是真的证据。)

于 2013-12-18T08:30:53.567 回答