如何验证Linux tarball的完整性？

Question

如何验证Linux tarball的完整性？

3

来自https://www.kernel.org/的Linux发行版tarballs可以通过签名文件.sign进行验证。网站或tarball的README中没有关于如何验证tarball的信息。为确保正确性，请使用该方法验证tarball。

- Kalle Richter

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Elliott Frisch · Accepted Answer

以下内容来自kernel.org网站上Linux内核发布的PGP签名说明。其中部分内容如下：首先（仅一次），安装公钥，如下所示：

$ gpg --keyserver hkp://keys.gnupg.net --recv-keys 6092693E

然后，您可以验证签名，例如：

$ xz -cd linux-3.1.5.tar.xz | gpg --verify linux-3.1.5.tar.sign -

预期输出结果类似于：

gpg: Signature made Fri 09 Dec 2011 12:16:46 PM EST using RSA key ID 6092693E
gpg: Good signature from "Greg Kroah-Hartman
     (Linux kernel stable release signing key) <greg@kroah.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 647F 2865 4894 E3BD 4571  99BE 38DB BDC8 6092 693E