【问题标题】:PGP TarBall File Signature Keys Verification fails with no valid OpenPGP data foundPGP TarBall 文件签名密钥验证失败,找不到有效的 OpenPGP 数据
【发布时间】:2013-09-28 20:41:52
【问题描述】:

这是我第一次想到最好检查我要安装的绑定软件的密钥。所以我下载了我认为是 OpenPGP 密钥的东西......

$ wget ftp://ftp.isc.org/isc/bind9/9.9.4/bind-9.9.4.tar.gz.sha1.asc

...然后我尝试像这样“导入”这个密钥...

$ gpg --import bind-9.9.4.tar.gz.sha1.asc

...但我收到此错误消息:

gpg: no valid OpenPGP data found.
gpg: Total number processed: 0

我做错了什么?

谢谢!

【问题讨论】:

    标签: openpgp


    【解决方案1】:

    命令语法为gpg bind-9.9.4.tar.gz.sha1.asc。当然,这会导致找不到公钥的错误。您可以从 pgpkeys.mit.edu 下载公钥。

    This article 一步一步解释这个过程。

    【讨论】:

      【解决方案2】:

      有时,您 read 会这样说:“您必须使用 PGP 或 MD5 签名 [...] 使用以下命令 [...] 验证下载文件的完整性”。

      gpg --import KEYS
      gpg --verify <software-bundle>.asc
      

      你知道你应该这样做。不读全部,你可能会想:两个命令,一个是附加签名文件,一个是验证下载的软件。不是。

      KEYS指的不是下载的asc文件,而是一个名为KEYS的特殊文件,需要单独下载。请参阅“下载密钥”步骤。该链接没有像您想象的那样指向 asc 文件。它指向别的东西。需要这些 KEYS 来检查 asc 文件本身的完整性。第二个命令似乎同时执行了这两项检查。它验证作为参数给出的 asc 文件(使用导入的密钥),但如果您尝试在独立的 asc 文件上运行它,它会说:

      gpg: no signed data
      gpg: can't hash datafile: No data
      

      所以我认为它也验证了软件的完整性,除了在同一目录中的尾部.asc之外,它应该是一个同名的文件。 (但我现在还没有找到证明这是真的。)

      【讨论】:

      • 除了 .asc 对我来说,asc 文件必须与它正在验证的文件的名称相同(我有一个不同的名称,它不起作用)。
      猜你喜欢
      • 2019-10-04
      • 1970-01-01
      • 2020-06-23
      • 2021-01-04
      • 2018-09-10
      • 2021-12-17
      • 2017-12-31
      • 1970-01-01
      • 2020-07-15
      相关资源
      最近更新 更多