Чтобы проверить .iso
, записанный на / dev / sdb
] с подписью my_signature.sig
в gpg
, я использую
dd if=/dev/sdb | gpg --keyid-format 0xlong --verify my_signature.sig -
Есть ли способ выполнить эту команду, даже не загружая подпись my_signature.sig
?
Нет, GPG нужна подпись , чтобы вычислить, правильна ли она, поэтому вам необходимо загрузить ее, если она еще не импортирована в ваш набор ключей.
Ключ должен быть загружен для проверки подписи, если он еще не находится в связке ключей. Если подпись не входит в текст, который вы получаете с помощью curl, вам, тем не менее, необходимо ее загрузить, по крайней мере, если вы не знаете, кто подписал содержимое URL-адреса.
Если подпись находится по адресу URL
,
dd if=/dev/sdb | gpg --keyid-format 0xlong --verify <(curl -sL URL.sig)
Ключ, который добавлен с помощью gpg --import
, должен быть загружен, если, например, это не ключ SHS. .
Нет, вы не можете. Если у вас нет файла подписи my_signature.sig
(здесь он известен как "отделенная подпись"), как вы сможете проверить, что содержимое, полученное через curl, правильно подписано?
Кроме того, вам необходимо иметь открытый ключ подписанта, хранящийся в вашем связке ключей, иначе вы не сможете проверить подпись.