0

到底如何验证 apache Tomcat 或 ant 的分发签名?我一直在使用 GnuPG,但它似乎并没有奏效,尽管 apache 网站上到处都警告要首先验证文件。

使用窗户...如果有帮助的话。

步骤:
1) 下载二进制版本 .exe / .zip / .asc / KEYS 文件
2) gpg --import KEYS
3) gpg --verify *.asc 文件
4) 我能得到的最好的就是一个味精。声明
“此密钥未经可信签名认证!
没有迹象表明签名属于所有者。” ...和主键指纹。

我认为这不是有效的验证。

4

1 回答 1

2

不,它是有效的。这只是意味着您没有将密钥标记为受信任。安全地这样做是困难的(但并非不可能)。

基本上,您需要亲自与签名者会面并亲自验证指纹,或者(可能递归地)信任其他人对此的验证。

于 2009-06-15T01:00:28.130 回答