Могу ли я проверить файл с помощью GPG без загрузки ключа
Чтобы проверить .iso , записанный на / dev / sdb ] с подписью my_signature.sig в gpg , я использую
dd if=/dev/sdb | gpg --keyid-format 0xlong --verify my_signature.sig -
Есть ли способ выполнить эту команду, даже не загружая подпись my_signature.sig ?
Нет, GPG нужна подпись , чтобы вычислить, правильна ли она, поэтому вам необходимо загрузить ее, если она еще не импортирована в ваш набор ключей.
Ключ должен быть загружен для проверки подписи, если он еще не находится в связке ключей. Если подпись не входит в текст, который вы получаете с помощью curl, вам, тем не менее, необходимо ее загрузить, по крайней мере, если вы не знаете, кто подписал содержимое URL-адреса.
Если подпись находится по адресу URL ,
dd if=/dev/sdb | gpg --keyid-format 0xlong --verify <(curl -sL URL.sig)
Ключ, который добавлен с помощью gpg --import , должен быть загружен, если, например, это не ключ SHS. .
Нет, вы не можете. Если у вас нет файла подписи my_signature.sig (здесь он известен как "отделенная подпись"), как вы сможете проверить, что содержимое, полученное через curl, правильно подписано?
Кроме того, вам необходимо иметь открытый ключ подписанта, хранящийся в вашем связке ключей, иначе вы не сможете проверить подпись.