Пытаетесь проверить подпись загрузки с PGP, но получаете "нет подписанных данных" при передаче в файл.asc?

Question

Пытаетесь проверить подпись загрузки с PGP, но получаете "нет подписанных данных" при передаче в файл.asc?

Я попробовал следующие шаги из Проверки подписей в проекте Tor:

gpg.exe --keyserver pool.sks-keyservers.net --recv-keys 0x4E2C6E8793298290

  imported: 1

gpg.exe - отпечаток пальца 0x4E2C6E8793298290

  pub   4096R/93298290 2014-12-15 [expires: 2020-08-24]
  Key fingerprint = EF6E 286D DA85 EA2A 4BA7  DE68 4E2C 6E87 9329 8290
  uid       [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>
  sub   4096R/D9FF06E2 2018-05-26 [expires: 2020-09-12]

gpg.exe --verify C: \ Users \ Cyn \ Desktop \ torbrowser-install-win64-8.0.4_en-US.exe.asc

  gpg: no signed data
  gpg: can't hash datafile: No data

Файл выглядит так:

----- НАЧАТЬ ПОДПИСЬ PGP -----

бла-бла-бла / E = oakm

----- КОНЕЦ ПОДПИСИ PGP -----

Так что я сделал не так?

1

pgp signature

Источник

Dr-Bracket 22 дек '18 в 21:36

1 ответ

Другие вопросы по тегам pgp signature

dave_thompson_085 23 дек '18 в 02:50 2018-12-23 02:50 · Answer 1 · 2018-12-23 02:50

Это отдельная подпись, и вам нужны данные.

Подписи пакета Tor, как и многие другие подписи пакета, использующие PGP/GPG, которые вы найдете в сети, - это то, что PGP/GPG называет отдельной подписью - данные находятся в одном (часто большом) файле, а подпись - во втором., отдельный (маленький) файл. Вот почему есть две ссылки на скачивание (или кнопки) - одна для действующего программного пакета и одна для отдельной / отдельной подписи. Для проверки отдельной подписи на данных вам также необходимы данные (и открытый ключ); например для Windows вам нужно

torbrowser-install-win64-8.0.4_en-US.exe -- the (relevant) data file 
torbrowser-install-win64-8.0.4_en-US.exe.asc -- the signature

Обратите внимание, что имена файлов имеют одинаковую базу, но подпись имеет .asc добавлено в конце. Если вы бежите gpg[.exe] --verify file.asc где file.asc это отдельная подпись, gpg автоматически ищет данные в file - и терпит неудачу, если его там нет. (Аналогично для file.sig а также file для бинарной ака "небронированной" подписи.)

На странице, на которую вы ссылаетесь, написано "Предполагая, что вы загрузили пакет и его подпись на рабочий стол..." Обратите внимание на пакет И его подпись.

Если у вас действительно есть файл данных, но под другим именем (включая другой каталог), или если он находится под именем по умолчанию, но вы хотите быть явным (что сейчас рекомендует руководство GPG), укажите оба имени файла:

 gpg[.exe] --verify sigfile.asc datafile