Я скачал архив tar GNU (emacs-26.1.tar.xz) и теперь хочу проверить его по файлу подписи. gpg возвращает с опцией verify следующий вывод:
gpg: no valid OpenPGP data found.
gpg: the signature could not be verified.
Очевидно, что загрузка не может быть подтверждена. Но что это значит? Возможно, архив tar поврежден? Или я не импортировал правильные ключи?
Вот пошаговое описание того, что я сделал:
Я скачал архивный файл и его .sig файл:
$ wget https://ftp.gnu.org/gnu/emacs/emacs-26.1.tar.xz
$ wget https://ftp.gnu.org/gnu/emacs/emacs-26.1.tar.xz.sig
Я скачал связку ключей GNU ( Страница загрузки Emacs дала мне ссылку):
$ wget https://ftp.gnu.org/gnu/gnu-keyring.gpg
С помощью gpg я импортировал кольцо ключей GNU:
$ gpg --import gnu-keyring.gpg
Обратите внимание, что это вернулось:
.
.
.
gpg: Total number processed: 525
gpg: imported: 525 (RSA: 187)
gpg: no ultimately trusted keys found
Наконец я проверил архив tar:
gpg --verify emacs-26.1.tar.xz.sig emacs-26.1.tar.xz
Затем возвращается (как указано сверху):
gpg: no valid OpenPGP data found.
gpg: the signature could not be verified.
Please remember that the signature file (.sig or .asc)
should be the first file given on the command line.
Итак, архив tar поврежден или я не импортировал правильные ключи? Если дело обстоит так, каковы правильные ключи для этой загрузки GNU?