openpgp - PGP TarBall File Signature Keys Verification fails with no valid OpenPGP data found

Question

This is the first time I figured I had better check the keys of the bind software I want to install. So I downloaded what I think is a OpenPGP key ...

$ wget ftp://ftp.isc.org/isc/bind9/9.9.4/bind-9.9.4.tar.gz.sha1.asc

... then I tried to "import" this key like this ...

$ gpg --import bind-9.9.4.tar.gz.sha1.asc

... but I get this error message:

gpg: no valid OpenPGP data found.
gpg: Total number processed: 0

What am I doing wrong?

Thanks!

Answer 1

命令语法是gpg bind-9.9.4.tar.gz.sha1.asc. 当然，这会导致找不到公钥的错误。您可以从 pgpkeys.mit.edu 下载公钥。

本文将逐步解释该过程。

Answer 2

有时，您会读到这样的文字：“您必须使用 PGP 或 MD5 签名 [...] 使用以下命令 [...] 验证下载文件的完整性”。

gpg --import KEYS
gpg --verify <software-bundle>.asc

你知道你应该这样做。不读全部，你可能会想：两个命令，一个是附加签名文件，一个是验证下载的软件。它不是。

KEYS不是指下载的asc文件，而是指一个KEYS需要单独下载的特殊文件。请参阅“下载密钥”步骤。该链接没有像您想象的那样指向 asc 文件。它指向别的东西。需要这些 KEYS 来检查 asc 文件本身的完整性。第二个命令似乎同时执行了这两项检查。它验证作为参数给出的 asc 文件（使用导入的密钥），但如果您尝试在独立的 asc 文件上运行它，它会说：

gpg: no signed data
gpg: can't hash datafile: No data

所以我认为它也验证了软件的完整性，它预计是一个同名文件，除了.asc在同一目录中的拖尾。（但我现在还没有找到证明这是真的证据。）