Intereting Posts
Сжатие онлайн-видео напрямую с помощью ffmpeg Как контролировать скорость вентилятора в Linux с ноутбуком HP? Как читать несколько строк вместо строк Установка Linux на внешний жесткий диск и многозадачность с помощью Windows 7/8 Как скопировать определенное количество отсортированных файлов? (например, 11 ГБ) Barebone Linux Bluetooth-соединение Время, прошедшее с момента последней загрузки системы Разархивирование Как дублировать абзац с одной измененной строкой Приостановка процесса с помощью -SIGSTOP для достаточно длинных причин. Ядро Oops Stack Overflow Как сделать отказоустойчивость HA Heartbeat, когда потеряно одно из двух соединений NIC? Ожидайте вывод буфера скрипта Как идиоматические программы Unix обнаруживают, какой префикс они установлены? Смонтируйте внешний защищенный от записи диск с неверной геометрией на Ubuntu Server 16.04 Когда использовать стандартный поток ошибок в приложении командной строки?

Как мне проверить https://files.devuan.org/devuan-devs.gpg

Я бегу Девуан Джесси. Я хочу установить еще один Devuan Ascii с нуля. Итак, я скачал:

  • https://files.devuan.org/devuan_ascii/installer-iso/devuan_ascii_2.0.0_amd64_netinst.iso
  • https://files.devuan.org/devuan_ascii/installer-iso/SHA256SUMS
  • https://files.devuan.org/devuan_ascii/installer-iso/SHA256SUMS.asc
  • https://files.devuan.org/devuan_ascii/devuan-devs.gpg

Но я не нашел способа подтвердить подлинность devuan-devs.gpg .

Другие дистрибутивы, такие как Debian, Ubuntu или аналогичные, позволяют мне проверить ISO из существующей предыдущей версии.

Но для Девуана я не нашел никакого способа

 tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --verify SHA256SUMS.asc gpg: assuming signed data in `SHA256SUMS' gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F gpg: Can't check signature: public key not found tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-archive-keyring.gpg --verify SHA256SUMS.asc gpg: assuming signed data in `SHA256SUMS' gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F gpg: Can't check signature: public key not found tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-keyring.gpg --verify SHA256SUMS.asc gpg: assuming signed data in `SHA256SUMS' gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F gpg: Can't check signature: public key not found tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --keyring ../devuan-devs.gpg --verify SHA256SUMS.asc gpg: assuming signed data in `SHA256SUMS' gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F gpg: Good signature from "Vincenzo (KatolaZ) Nicosia " gpg: aka "Vincenzo Nicosia (KatolaZ) " gpg: aka "Vincenzo Nicosia (KatolaZ) " gpg: aka "KatolaZ " gpg: aka "Enzo Nicosia " gpg: aka "Enzo Nicosia -- KatolaZ " gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 8E59 D6AA 445E FDB4 A153 3D5A 5F20 B3AE 0B5F 062F 

Поскольку «ключ не сертифицирован», нет никаких признаков того, что ключ не является поддельным. Как можно исправить эту сломанную цепочку доверия?

https://devuan.org/os/documentation/dev1fanboy/general-information также не решает эту загадку.

Заметки:

devuan-devs.gpg вероятно, не подделка. Однако это предположение не помогает. Должен быть какой-то способ убедиться, что это не подделка. Первоначальная проблема с куриным яйцом уже решена, поскольку Девуан (Джесси) уже бежит на моей стороне.

Конечно, есть лучший способ проверить подлинность ISO Ascii, чем обновить Jessie до Ascii. Правильно?

    К сожалению, нет лучшего способа аутентификации изображений:

    • все задействованные файлы загружаются по одному каналу;
    • ключ, использованный для подписи файла SHA256SUMS недоступен в предыдущем выпуске Devuan;
    • ключ, как указано в связке ключей, не подписан никаким другим ключом;
    • ключ, опубликованный на серверах ключей, подписан , но его нет в строгом наборе, и ни одна из сигнатур не исходит от ключей, которые есть в наборе ключей предыдущего выпуска Devuan.

    Тот факт, что тот же ключ доступен на серверах ключей и в опубликованном наборе ключей, может быть истолкован как предоставление большего количества гарантий, но я не уверен, что это так, поскольку мы до сих пор не знаем, является ли владелец законным лицом, подписавшим релиз Devuan.