Командная строка GnuPG - проверка подписи KeePass
Я пытаюсь проверить Подпись PGP последней версии файла настройки KeePass 2.14's против этой подписи, но это - вывод, который я получаю:
C:\Program Files (x86)\GNU\GnuPG>gpg.exe --verify C:\Users\User\Desktop\KeePass-2.14-Setup.exe
gpg: no valid OpenPGP data found.
gpg: the signature could not be verified.
Please remember that the signature file (.sig or .asc)
should be the first file given on the command line.
C:\Program Files (x86)\GNU\GnuPG>
Я нашел эту команду здесь, но она не упомянула о ".sig" или ".asc" файлах, таким образом, я полагал, что сделал что-то не так. Путем чтения страниц справочника я далее попробовал следующее:
C:\Program Files (x86)\GNU\GnuPG>gpg.exe --pgpfile C:\Users\User\Desktop\KeePass-2.14-Setup.exe
gpg: Invalid option "--pgpfile"
C:\Program Files (x86)\GNU\GnuPG>
Как Вы видите, результаты вполне запутывают...
Я смотрел на это на SuperUser, но ни одна из ссылок, казалось, действительно не рассматривала мой вопрос, по крайней мере, не достаточно непосредственно, чтобы я надел любую идею, как продвинуться на этом.
Кто-либо может здесь помочь мне с тайной технической особенностью OpenPGP и связанным использованием программы GnuPG? Я чувствовал себя довольно немым, изучая VBS, но это вне оскорбления: это абсолютно изнурительно и калечит безотносительно уверенности, которую я имел со своими навыками IT (с другой стороны, у меня нет выравнивания для того, чтобы сделать любое хвастовство также, поскольку я должен все же получить мой + Сертификат, lol).
ОБНОВЛЕНИЕ 04.04.2011
Хорошо, таким образом, я устал от дурачения с Windows и решил, что сделаю его правильно путем начальной загрузки Ubuntu; это одно сделало вещи намного более логичными!
Таким образом, вот мой список команд и где я в:
proto@type:~$ cd Desktop/proto@type:~/Desktop$ gpg --import KeePass-2.14-Setup.exe.asc gpg: no valid OpenPGP data found. gpg: Total number processed: 0proto@type:~/Desktop$ gpg --import Dominik_Reichl.asc gpg: /home/proto/.gnupg/trustdb.gpg: trustdb created gpg: key FEB7C7BC: public key "Dominik Reichl " imported gpg: Total number processed: 1 gpg: imported: 1proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe gpg: no valid OpenPGP data found. gpg: the signature could not be verified. Please remember that the signature file (.sig or .asc) should be the first file given on the command line.proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc gpg: Signature made Sun 02 Jan 2011 05:25:24 AM MST using DSA key ID FEB7C7BC gpg: Good signature from "Dominik Reichl " gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BCproto@type:~/Desktop$ gpg --verify Dominik_Reichl.asc gpg: verify signatures failed: unexpected data
Поскольку Mike сообщил, я поместил ".exe" и ".asc" файлы в том же каталоге, при этом тот был Рабочий стол. Как Вы видите в коде, я также поместил открытый ключ "Dominik_Reichl.asc" в каталог Desktop.
Будьте терпеливы со мной, поскольку я был полностью испорчен MD5; я предполагаю, что Шаг 5 сверху является эквивалентом GPG этому:
C:\Users\user\>CD Desktop
C:\Users\user\Desktop>MD5Sum KeePass-2.14-Setup.exe
bae59065b24f0a6f2ed4bb9e0d6fc65f *KeePass-2.14-Setup.exe
Я говорю это, потому что поведение изменяется каждый раз, когда я перемещаю файл "KeePass-2.14-Setup.exe" во "временную" папку на Рабочем столе. Когда я выполняю команду, это - результат, который я получаю:
proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc
gpg: no signed data
gpg: can't hash datafile: file open errorЭти результаты имеют, приводят меня полагать, что я, как предполагается, извлекаю "идентификатор ключа DSA" и "Цифровой отпечаток первичного ключа" от Шага 5, и сравниваю их со значениями наверху Страницы Подписи. Так, это то, где подобие в с проверкой MD5? Это все существует к нему? Или есть ли дальнейший шаг? Существует ли команда, которую я использую для проверки этих двух строк? Те строки то, что я действительно должен проверить? Каковы те строки?
Теперь существует еще одна проблема, с которой я должен спорить. В "Результатах" цифрового отпечатка первичного ключа у меня есть 2 пробелов между "8065" и "5626". Когда я использую электронную таблицу для проверки моих результатов со строкой на Странице Подписи, я получаю "ЛОЖНЫЙ" результат из-за дополнительного пробела в моих результатах. Я проверил источник Страницы Подписи, чтобы видеть, игнорировал ли браузер дополнительный пробел, но это не имеет место.
2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC # From Source of Signature Page
2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC # From My ResultsПока я удаляю тот дополнительный пробел, мое соответствие результатов с этим от Страницы Подписи, но разве они не должны соответствовать ни без какого вмешательства с моей стороны? Должен различие в пробеле быть причиной для предупреждения?
К сожалению, Страницы справочника GPG все еще довольно неясны для меня, или как некоторые могут выразиться "враждебные к пользователю" (поисковый "пользователь враждебный gpg"), таким образом, мне будет нужна пара дополнительной моркови, бросил мой путь. Я допущу его: я являюсь немым. На самом деле, когда я все еще изучал, как использовать проверку MD5, я выпутался с нею почти так, как я сделал с этим.
3 ответа
На первой команде Вы, если необходимо ссылаться на .asc файл подписи - не .exe файл. .exe файл должен также находиться в том же каталоге как .asc файл.
Из gpg страницы справочника:
--verify
Assume that the first argument is a signed file or a detached signature and verify it without generat-
ing any output. With no arguments, the signature packet is read from STDIN. If only a sigfile is given,
it may be a complete signature or a detached signature, in which case the signed stuff is expected in a
file without the ".sig" or ".asc" extension. With more than 1 argument, the first should be a detached
signature and the remaining files are the signed stuff. To read the signed stuff from STDIN, use '-''
as the second filename. For security reasons a detached signature cannot read the signed material from
STDIN without denoting it in the above way.
Вы сверхусложняете вещи, которыми это кажется :-) Попытайтесь сделать поиск идентификатора FEB7C7BC ключа DSA в https://keyserver.pgp.com/vkd/GetWelcomeScreen.event, и я думаю, что Вы получаете его!
Это сообщение главным образом для "от A до Z" разбивка, этот путь кто-либо, кто застревает на этом, может получить ответ, не имея необходимость рыть через все комментарии. Не голосуйте за это; поскольку кредит переходит к участникам (Mike Fitzpatrick, сила тяжести и Jan Ivar Beddari).
Другая вещь: не доверяйте этому сообщению! Парадоксальный оператор, но я отправляю это с дефектным/ограниченным пониманием того, как GPG работает. Я буду обновлять это, поскольку я получаю лучшее понимание этого; прямо сейчас у меня есть туманное схватывание того, как оно работает.
- Загрузите свою желаемую копию KeePass, соответствующей Подписи и Открытого ключа к тому же каталогу на Вашем любимом дистрибутиве Linux (в моем случае, я использовал Ubuntu и сделал Рабочий стол рабочим каталогом),
- Это Важно! Открытый ключ на веб-сайте KeePass не должен быть загружен! Необходимо загрузить Открытый ключ, которому доверяют другие пользователи, надо надеяться, те пользователи, являющиеся людьми, которым Вы доверяете. Как дела это? Спросите друга, у которого есть доверяемый Открытый ключ, чтобы дать Вам копию; но у Вас не может обязательно быть друга, у которого есть это. Ну, благодаря сообщению Jan Ivar Beddari можно загрузить Открытый ключ, опубликованный Dominik Reichl отсюда, и использовать Импорт Открытый ключ оттуда.
- Откройте Terminal ("CTRL+ALT+T" в Ubuntu)
- Выполненный
cd Desktop/ - Выполненный
gpg --import %KEYNAME%.asc - Выполненный
gpg --verify %SIGNATURE%.asc - Сравните Получающийся Ключевой Цифровой отпечаток с этим с Веб-сайта KeePass
Вот мои результаты при использовании Открытого ключа из keyserver.pgp.com:
proto@type:~$ cd Desktop/
proto@type:~/Desktop$ gpg --import key0xDCCAA5B3FEB7C7BC.asc
gpg: key FEB7C7BC: public key "Dominik Reichl " imported
gpg: Total number processed: 1
gpg: imported: 1
gpg: no ultimately trusted keys found
proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc
gpg: Signature made Sun 02 Jan 2011 05:25:24 AM MST using DSA key ID FEB7C7BC
gpg: Good signature from "Dominik Reichl "
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC
Затем вот мои результаты при использовании Открытого ключа с веб-сайта KeePass:
proto@type:~$ cd Desktop
proto@type:~/Desktop$ gpg --import Dominik_Reichl.asc
gpg: key FEB7C7BC: public key "Dominik Reichl " imported
gpg: Total number processed: 1
gpg: imported: 1
proto@type:~/Desktop$ gpg --verify KeePass-2.14-Setup.exe.asc
gpg: Signature made Sun 02 Jan 2011 05:25:24 AM MST using DSA key ID FEB7C7BC
gpg: Good signature from "Dominik Reichl "
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2171 BEEA D0DD 92A1 8065 5626 DCCA A5B3 FEB7 C7BC
Как Вы видите, результаты являются всеми одинаковыми, исключая "gpg: никакие в конечном счете доверяемые ключи не нашли" часть. Я не уверен, что сделать из него, но Ключевые Цифровые отпечатки соответствуют Цифровым отпечаткам на веб-сайте KeePass, который имеет значение при проверке Файла. Это весьма отличается от проверки, что Открытый ключ защищен, все же. Открытый ключ - что-то, что Вы доверяете, чтобы использовать или сделать не, как то, доверяете ли Вы незнакомцу. Один путь к ним для случайной встречи защищенного состоит в том, если у них есть несколько человек, чтобы ручаться за них, который является тем же для Открытого ключа. Снова, это от моего ограниченного объема, таким образом, должная осмотрительность требуется с Вашей стороны также!
Если можно ожидать, хотя, я буду медленно редактировать свои сообщения для одобрения сжатого, простого, и, надо надеяться, точное представление надлежащего использования GPG в проверке копии KeePass.