kde najdu veřejný klíč pro GNU Emacs?

hlasů
26

Použil jsem emacs jen půl roku od 23.1 do 23.3.

Pokaždé, když jsem se snažil najít gpg veřejný klíč pro Emacs, takže jsem mohl zkontrolovat tar.gz balíček s tar.gz.sig propuštěn s každou novou verzí. Ukázalo se, že se mi nepovedlo pokaždé, když: -].

Zdá se, že bych měl nejprve načíst veřejný klíč, a já jsem hledal na internetových stránkách Emacs, ale nikdy nenašel znamení ...

Mohu jen najít SHA1 kontrolní součet v seznamu e-mailové http://lists.gnu.org/archive/html/info-gnu-emacs/2011-03/msg00000.html dělat kontrola integrity

Nejsem pochybovat o zabezpečení FSF, mimochodem. jen zvědavý ... Nikdy použít gpg před ...

Můžete mi dát odkaz?

dík

Položena 18/04/2011 v 11:13
zdroj uživatelem
V jiných jazycích...                            


4 odpovědí

hlasů
34

Při pokusu o ověření podpisu pomocí

gpg --verify <pkg>.key

budete mít výstup jako následující:

gpg: Signature made 02/17/05 14:02:42 GTB Standard Time using DSA key ID BE216115
gpg: Can't check signature: No public key

Klíč číslo, které hledáte, je BE216115, aby se zeptáte gpg jej získat pomocí:

gpg --recv-keys BE216115

Který vyústil v návaznosti na instalaci produktu:

gpg: requesting key BE216115 from hkp server keys.gnupg.net
gpg: key BE216115: public key "Francesco Potortì <pot@potorti.it>" imported
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:   1  trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: depth: 1  valid:   1  signed:   6  trust: 0-, 0q, 0n, 0m, 1f, 0u
gpg: depth: 2  valid:   6  signed:   1  trust: 0-, 0q, 0n, 6m, 0f, 0u
gpg: Total number processed: 1
gpg:               imported: 1

Nyní si můžete ověřit. Ale protože jste dosud přidělen žádný důvěru k tomuto klíči, bude výstup:

gpg: Signature made 02/17/05 14:02:42 GTB Standard Time using DSA key ID BE216115
gpg: Good signature from "Francesco Potortì <pot@potorti.it>"
gpg:                 aka "Francesco Potortì <pot@gnu.org>"
gpg:                 aka "Francesco Potortì <Potorti@isti.cnr.it>"
gpg:                 aka "Francesco Potortì <pot@softwarelibero.it>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 4B02 6187 5C03 D6B1 2E31  7666 09DF 2DC9 BE21 6115

Takže, budete vědět, že podpis je platný, ale nemáte důvěru veřejného klíče. Můžete důvěřovat, nebo podepsat veřejný klíč pomocí:

gpg --edit-key BE216115

U typu příkazového řádku helpse zobrazí všechny dostupné možnosti. Pro další informace viz Používání GNU Privacy Guard

Odpovězeno 18/04/2011 v 11:40
zdroj uživatelem

hlasů
19

GNU klíčenka je /anonymous@ftp.gnu.org:/gnu/gnu-keyring.gpg

Můžete je importovat na místě (po stažení) s

gpg --import gnu-keyring.gpg
Odpovězeno 19/04/2011 v 03:17
zdroj uživatelem

hlasů
9

Odpověď od @vhallac je nyní zastaralý (Snažím pro ověření Emacs 24.4 ke stažení). Pokud si nechcete stahovat a importovat celý GNU klíčenku (jako @JSON diskutováno), tady je způsob, jak to udělat. V této odpovědi ukážu, co funguje dnes, ale i to, jak přijít na to, co bude fungovat ode dneška za rok.

Nejprve stáhnout emacs a jeho .sigsoubor. Mám:

$ ls | grep emacs
emacs-24.4.tar.xz
emacs-24.4.tar.xz.sig

Za předpokladu, že jste již gpg nainstalováno, zkuste ověřit:

$ gpg --verify emacs-24.4.tar.xz.sig 
gpg: Signature made Mon 20 Oct 2014 02:58:21 PM EDT using RSA key ID A0B0F199
gpg: Can't check signature: public key not found

V tomto pokusu se nezdaří (uvidíte úspěšný pokus na konci tohoto příspěvku). Nemám veřejný klíč. Výstup vám řekne, které veřejný klíč je potřeba k získání: A0B0F199. (To je věc, která bude s největší pravděpodobností do budoucna změnit.)

Tak jsem se zkuste ji stáhnout s výchozí příkazem:

$ gpg --recv-keys A0B0F199
gpg: requesting key A0B0F199 from hkp server keys.gnupg.net
(...hangs here...)

Je to prostě visí. To proto, že mám ufw(můj firewall Linux) blokovat většinu porty. Můžete říct gpg na používání portu 80, tak jako:

$ gpg --keyserver hkp://keys.gnupg.net:80 --recv-keys A0B0F199
gpg: requesting key A0B0F199 from hkp server keys.gnupg.net
gpgkeys: key A0B0F199 not found on keyserver
gpg: no valid OpenPGP data found.
gpg: Total number processed: 0

Který se dostal přes bránu firewall, ale nezdaří, protože z nějakého důvodu / FSF klávesy Emacs již nejsou uloženy na serveru GnuPG. Tak jsem se snažil ostatní keyserveru vím o a mají určitou úroveň důvěry:

$ gpg --keyserver hkp://pool.sks-keyservers.net:80 --recv-keys A0B0F199
gpg: requesting key A0B0F199 from hkp server pool.sks-keyservers.net
gpg: key A0B0F199: public key "Glenn Morris <rgm@gnu.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

OK, to fungovalo. Nyní zkontrolovat:

$ gpg --list-keys
...
pub   2048R/A0B0F199 2012-12-23 [expires: 2015-12-23]
uid                  Glenn Morris <rgm@gnu.org>
sub   2048R/951C59EC 2012-12-23 [expires: 2015-12-23]

Jo, to mám.

Nyní mohu ověřit stažený emacs tarball:

$ gpg --verify emacs-24.4.tar.xz.sig 
gpg: Signature made Mon 20 Oct 2014 02:58:21 PM EDT using RSA key ID A0B0F199
gpg: Good signature from "Glenn Morris <rgm@gnu.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B294 26DE FB07 724C 3C35  E5D3 6592 E9A3 A0B0 F199

Podpis je „dobrá“, ale není důvěryhodný. Podívejte se na další odpovědi na to, jak věřit, že klíč.

Odpovězeno 07/03/2015 v 18:07
zdroj uživatelem

hlasů
5

Tam je READMEsoubor v kořenovém adresáři serveru FTP GNU, která vysvětluje, jak používat podpisy.

Viz ftp://ftp.gnu.org/README pro verzi up-to-date.

Současný soubor říká:

There are also .sig files, which contain detached GPG signatures of the above
files, automatically signed by the same script that generates them.

You can verify the signatures for gnu project files with the keyring file from:
  ftp://ftp.gnu.org/gnu/gnu-keyring.gpg

In a directory with the keyring file, the source file to verify and the
signature file, the command to use is:

  $ gpg --verify --keyring ./gnu-keyring.gpg foo.tar.xz.sig
Odpovězeno 08/03/2015 v 12:37
zdroj uživatelem

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more