Apache/Tomcat und Ant Überprüfung mit GnuPG

Wie zum Teufel ist es möglich, die Signatur einer Verteilung für Apache Tomcat oder Ant zu überprüfen? Ich habe GnuPG verwendet und es scheint nicht den Trick zu tun, trotz Warnungen auf der ganzen Apache-Website, um Dateien zuerst zu überprüfen.Apache/Tomcat und Ant Überprüfung mit GnuPG

mit Windows ... wenn das hilft.

SCHRITTE:
1) herunterladen binäre Version .exe/ZIP/asc/KEYS
2) gpg --import KEYS
3) GPG --verify * .asc-Datei
4) Datei des Das Beste, was ich bekommen kann, ist eine Nachricht. Angabe
"Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert!
Es gibt keinen Hinweis, dass die Signatur dem Besitzer gehört." ... und ein Primärschlüssel-Fingerabdruck.

Ich nehme an, dass dies keine gültige Überprüfung ist.

Quelle

2009-06-15 Anonymous

Nein, es ist gültig. Es bedeutet nur, dass Sie den Schlüssel nicht als vertrauenswürdig markiert haben. Es ist schwierig (aber nicht unmöglich), dies sicher zu tun.

Grundsätzlich müssen Sie den Unterzeichner selbst treffen und persönlich den Fingerabdruck verifizieren oder (möglicherweise rekursiv) der Verifizierung durch einen anderen vertrauen.

Quelle

2009-06-15 01:00:28

ja, ich habe versucht, sie für Kaffee zu treffen ... aber ich war zu beschäftigt damit, mit den Leuten rumzuhängen, die meine Unterschriften für Winzip, Ameise, Glassfish, Jdk, Netbeans, Metro, Sha1sum und GPG verifiziert haben. ernsthaft - Gemeinschaft der Entwickler oder nicht ... Sie würden denken, jemand würde die Zügel nehmen, bauen und hosten die Dateien zum Download (eine Person tut dies für Tomcat, etc.) auf diese Weise müssen Sie nicht Signatur überprüfen - Datei wurde von der autoritativen Quelle (apache.org) heruntergeladen. bin ich verrückt? sowieso - danke für die schnelle Antwort/ich schätze die Klarstellung. –

Apache/Tomcat und Ant Überprüfung mit GnuPG

Antwort

Verwandte Themen