Was ich so treibe...

Uli's IT-Blog - Konzeption, Entwicklung, Betrieb

GPG: Signaturen

GPG/PGP-Signatur von Quelltext-Dateien prüfen

Quelltextdateien werden oftmals mit GPG/PGP-Signaturen bereitgestellt, über die die Integrität der Dateien geprüft werrden kann. Hier zeige ich exemplarisch, wie dies für Subversion und Nginx gemacht wird.

Subversion

  1. Quelltext herunterladen: wget http://mirror.serversupportforum.de/apache/subversion/subversion-1.7.9.tar.gz

  2. Signatur herunterladen: wget http://www.apache.org/dist/subversion/subversion-1.7.9.tar.gz.asc

  3. Schlüssel importieren: wget -O - https://people.apache.org/keys/group/subversion.asc|gpg --import

  4. Signatur prüfen: gpg subversion-1.7.9.tar.gz.asc

Nginx

  1. Quelltexte herunterladen: wget -O - http://nginx.org/download/nginx-1.2.8.tar.gz|gzip -cd >nginx-1.2.8.tar.gz

    Hinweis: Dieses umständliche Vorgehen ist notwendig, weil die Version 1.2.8 aus unerfindlichen Gründen “doppelt komprimiert” ist!

  2. Signatur herunterladen: wget http://nginx.org/download/nginx-1.2.8.tar.gz.asc

  3. Signatur prüfen: gpg nginx-1.2.8.tar.gz.asc

    Klappt nicht: Es wird gemeckert weil der zugehörige RSA-Schlüssel fehlt

  4. Schlüssel importieren – auf eine der folgenden Arten:

    • Vom Keyserver: gpg --keyserver pgpkeys.mit.edu --recv-key A1C052F8

    • Mittels manuellem Download: wget -O - http://nginx.org/keys/mdounin.key|gzip -cd|gpg --import

    Ich hab’s auf beide Arten gemacht und dabei überprüft, dass der Schlüssel identisch ist!

  5. Erneuter Test: gpg nginx-1.2.8.tar.gz.asc

    Klappt halbwegs!

Comments