Попытка проверить целостность файла с помощью GnuPG. «ПЛОХАЯ подпись» все время

Я совершенно новичок в GnuPGP, и я пытаюсь проверить его.

В основном, то, что я сделал, загружается ключ Mint Linux (ID 0FF405B2) из ​​pgp.mit.edu.

gpg --keyserver pgp.mit.edu --recv-keys 0FF405B2 

Я проверил, что это в моей брелка, от Климента Лефевра.

После этого я загружаю блок PGP из зеркала Mint Linux. ( http://mirror.csclub.uwaterloo.ca/linuxmint/stable/17.3/sha256sum.txt.gpg )

Я по существу скопировал и вставил его и сохранил его как «lmgpg.sig». Я также пробовал «lmgpg.gpg» и «lmgpg.txt.gpg» и даже просто Wget'd.

После этого я сохранил один из хешей:

854d0cfaa9139a898c2a22aa505b919ddde34f93b04a831b3f030ffe4e25a8e3 linuxmint-17.3-cinnamon-64bit.iso

Как файл .txt, lmsum.txt

Итак, когда все это сделано, я пытаюсь проверить файл с хешем в нем и даже с самим ISO. С обоими я получаю:

 gpg --verify lmgpg.sig lmsum.txt gpg: Signature made Wed 06 Jan 2016 08:06:20 AM PST using DSA key ID 0FF405B2 gpg: BAD signature from "Clement Lefebvre (Linux Mint Package Repository v1) <root@linuxmint.com>" 

Это также происходит, когда я повторяю вышеуказанные операции с файлами из стабильного зеркала Debian.

Пожалуйста, что я на земле делаю неправильно?

One Solution collect form web for “Попытка проверить целостность файла с помощью GnuPG. «ПЛОХАЯ подпись» все время”

Различные файлы контрольной суммы и подписи позволяют проверять файлы, которые вы загрузили, а не файлы, которые вы воссоздаете самостоятельно. Таким образом, вы загружаете образ ISO и файлы проверки

 wget http://mirror.csclub.uwaterloo.ca/linuxmint/stable/17.3/linuxmint-17.3-cinnamon-64bit.iso wget http://mirror.csclub.uwaterloo.ca/linuxmint/stable/17.3/sha256sum.txt{.gpg,} 

и потяните ключ GPG в свой брелок так же, как и вы, а затем проверьте файлы:

 sha256sum -c sha256sum.txt 

который жалуется на отсутствие файлов, но проверяет загруженный ISO и

 gpg --verify sha256sum.txt.gpg sha256sum.txt 

который должен сказать вам, что подпись хороша. Подпись действительна только для точного файла, который был подписан; вы не можете создать его часть с помощью sha256sum и проверить это.

Весь смысл этого упражнения состоит в том, чтобы убедиться, что ISO является правильным, согласно sha256sum , и что контрольная сумма SHA-256 сама по себе правильна в соответствии с сигнатурой GnuPG; в решающей степени последняя часть зависит от ключа Mint от Clement Lefebvre, который вы загружаете отдельно от другого источника.

  • Как я могу PGP расшифровать весь mbox?
  • Есть ли общий инструмент помимо gpg для шифрования файлов в AES?
  • Генератор ключей GPG делает * не * использовать энтропию
  • Диалоги пароля блокируют привязки клавиш
  • Импорт ключей GPG застрял в «gpg: keybox» /root/.gnupg/pubring.kbx «создан» / «Получение» gpg: получение сервера ключей не удалось »
  • gpg: Плохая подпись
  • Как восстановить /etc/apt/trustdb.gpg на Debian?
  • Шифровать каталог с помощью GnuPG?
  • Проблема с gpg при использовании apt
  • Что делать, когда пользователь переключается на новый ключ?
  • Псевдоним для скрипта perl
  • Linux и Unix - лучшая ОС в мире.