Проверьте TortoiseGit-2.8.0.0-64bit.msi с помощью gpg2

Question

Я хочу загрузить и проверить TortoiseGit-2.8.0.0-64bit.msi

Я использую gnupg2 (в Cygwin)

TortoiseGit Страница загрузки предоставляет эти файлы:

TortoiseGit-2.8.0.0-64bit.msi
TortoiseGit-2.8.0.0-64bit.msi.rsa.asc 

Я сделал следующее, чтобы проверить загрузку (но получил: нет открытого ключа):

$ gpg2 --auto-key-locate keyserver --keyserver-options auto-key-retrieve -- 
verify TortoiseGit-2.8.0.0-64bit.msi.rsa.asc TortoiseGit-2.8.0.0-64bit.msi
gpg: Signature made Thu, Feb 28, 2019  4:34:13 PM EST
gpg:                using RSA key 74A21AE301B3CA5BD8072F5EF7F17B3F9DD9539E
gpg: requesting key F7F17B3F9DD9539E from hkp server keys.gnupg.net
gpg: Can't check signature: No public key

Поскольку у меня нет .sig, я попробовал и получил:

$ gpg2 --import TortoiseGit-2.8.0.0-64bit.msi.rsa.asc
gpg: no valid OpenPGP data found.
gpg: Total number processed: 0

Я не могу понять, как тогда правильно проверить эту загрузку - если кто-нибудь сможет показать правильный метод, он будет очень признателен!

Спасибо!

Answer 1

Ключ доступен здесь: https://download.tortoisegit.org/keys.

Поскольку файлы MSI также подписаны с использованием AuthentiCode, нет реальной необходимости подписи GPG для конечных пользователей.- Подписи GPG используются автообновлением для проверки целостности пакетов обновлений (несмотря на то, что они также загружаются с использованием HTTP).

Если вам нужен другой доверенный корень, вы можете вызватьTortoiseGitProc.exe /command:pgpfp для отображения отпечатка пальца GPG.