gpg --import non riesce con nessun dato OpenPGP trovato

Question

Questa è la prima volta che ho pensato di controllare meglio i tasti del software di bind che voglio installare. Così ho scaricato quello che penso è una chiave OpenPGP ...

$ wget ftp://ftp.isc.org/isc/bind9/9.9.4/bind-9.9.4.tar.gz.sha1.asc 

... poi ho cercato di "importazione" questa chiave come questo ...

$ gpg --import bind-9.9.4.tar.gz.sha1.asc 

... ma ottengo questo messaggio di errore:

gpg: no valid OpenPGP data found. 
gpg: Total number processed: 0 

Cosa sto facendo di sbagliato?

Grazie!

Answer 1

La sintassi del comando è gpg bind-9.9.4.tar.gz.sha1.asc. Naturalmente, questo dà un errore che non viene trovata alcuna chiave pubblica. È possibile scaricare le chiavi pubbliche da pgpkeys.mit.edu.

This article spiega il processo passo-passo.

Answer 2

A volte, è read parole come queste: "È essenziale verificare l'integrità dei file scaricati utilizzando le firme PGP o MD5 [...] utilizzando i seguenti comandi [...]".

gpg --import KEYS 
gpg --verify <software-bundle>.asc 

Sai che dovresti farlo. E senza leggerlo tutto, potresti pensare: due comandi, uno per collegare il file della firma e uno per verificare il software scaricato. Non è.

KEYS non si riferisce al file asc scaricato, ma a un file speciale denominato KEYS che è necessario scaricare separatamente. Vedi il passaggio "Download KEYS". Il collegamento non punta al file asc come potresti pensare. Indica qualcos'altro. Queste CHIAVI sono necessarie per verificare l'integrità del file asc stesso. Il secondo comando sembra eseguire entrambi i controlli quindi. Si verifica il file asc dato come parametro (utilizzando i tasti importati), ma se si tenta di eseguire sul file asc autonomo, si dice:

gpg: no signed data 
gpg: can't hash datafile: No data 

quindi penso che verifica anche l'integrità del software, anche, che dovrebbe essere un file con lo stesso nome ad eccezione dello tailing .asc nella stessa directory. (Ma non ho trovato una prova per questo per essere vero ormai.)