使用 gpg2 验证 TortoiseGit-2.8.0.0-64bit.msi
Verify TortoiseGit-2.8.0.0-64bit.msi with gpg2
我要下载验证TortoiseGit-2.8.0.0-64bit.msi
我使用 gnupg2(在 Cygwin 中)
TortoiseGit download page 提供了这些文件:
TortoiseGit-2.8.0.0-64bit.msi
TortoiseGit-2.8.0.0-64bit.msi.rsa.asc
我执行了以下操作来验证下载(但得到:没有 public 密钥):
$ gpg2 --auto-key-locate keyserver --keyserver-options auto-key-retrieve --
verify TortoiseGit-2.8.0.0-64bit.msi.rsa.asc TortoiseGit-2.8.0.0-64bit.msi
gpg: Signature made Thu, Feb 28, 2019 4:34:13 PM EST
gpg: using RSA key 74A21AE301B3CA5BD8072F5EF7F17B3F9DD9539E
gpg: requesting key F7F17B3F9DD9539E from hkp server keys.gnupg.net
gpg: Can't check signature: No public key
因为我没有 .sig,所以我尝试并得到:
$ gpg2 --import TortoiseGit-2.8.0.0-64bit.msi.rsa.asc
gpg: no valid OpenPGP data found.
gpg: Total number processed: 0
我不明白如何正确验证此下载 -- 如果有人能提供正确的方法,我们将不胜感激!
谢谢!
密钥可在此处获得:https://download.tortoisegit.org/keys。
由于 MSI 文件也使用 AuthentiCode 进行签名,因此最终用户实际上不需要 GPG 签名。 - 自动更新程序使用 GPG 签名来验证更新包的完整性(尽管这些更新包也是使用 HTTPs 下载的)。
如果您需要另一个信任根,可以调用TortoiseGitProc.exe /command:pgpfp以显示GPG指纹。
我要下载验证TortoiseGit-2.8.0.0-64bit.msi
我使用 gnupg2(在 Cygwin 中)
TortoiseGit download page 提供了这些文件:
TortoiseGit-2.8.0.0-64bit.msi
TortoiseGit-2.8.0.0-64bit.msi.rsa.asc
我执行了以下操作来验证下载(但得到:没有 public 密钥):
$ gpg2 --auto-key-locate keyserver --keyserver-options auto-key-retrieve --
verify TortoiseGit-2.8.0.0-64bit.msi.rsa.asc TortoiseGit-2.8.0.0-64bit.msi
gpg: Signature made Thu, Feb 28, 2019 4:34:13 PM EST
gpg: using RSA key 74A21AE301B3CA5BD8072F5EF7F17B3F9DD9539E
gpg: requesting key F7F17B3F9DD9539E from hkp server keys.gnupg.net
gpg: Can't check signature: No public key
因为我没有 .sig,所以我尝试并得到:
$ gpg2 --import TortoiseGit-2.8.0.0-64bit.msi.rsa.asc
gpg: no valid OpenPGP data found.
gpg: Total number processed: 0
我不明白如何正确验证此下载 -- 如果有人能提供正确的方法,我们将不胜感激!
谢谢!
密钥可在此处获得:https://download.tortoisegit.org/keys。
由于 MSI 文件也使用 AuthentiCode 进行签名,因此最终用户实际上不需要 GPG 签名。 - 自动更新程序使用 GPG 签名来验证更新包的完整性(尽管这些更新包也是使用 HTTPs 下载的)。
如果您需要另一个信任根,可以调用TortoiseGitProc.exe /command:pgpfp以显示GPG指纹。