Проверка Apache / Tomcat и Ant с использованием GnuPG

Question

как, черт возьми, можно проверить подпись дистрибутива для apache Tomcat или ant? Я использую GnuPG, и он, похоже, не сработает, несмотря на предупреждения на всем сайте apache, чтобы сначала проверить файлы.

с использованием окон ... если это поможет.

ШАГИ:
1) скачать двоичную версию .exe / .zip / .asc / KEYS файл
2) gpg --import KEYS
3) gpg --verify * .asc файл
4) лучшее, что я могу получить - это сообщение. констатируя
«Этот ключ не имеет доверенной подписи!
Нет никаких признаков того, что подпись принадлежит владельцу. "... и отпечаток первичного ключа.

Я полагаю, что это НЕ верная проверка.

Answer 1

Нет, это действительно. Это просто означает, что вы не пометили ключ как доверенный. Это безопасно (но не невозможно) сделать так безопасно.

По сути, вам нужно встретиться с самим подписывающим лицом и лично проверить отпечаток пальца или (возможно, рекурсивно) доверять проверке другого лица.