PGP/ASC imzaları Linux’ta nasıl teyit edilir?

İmza dosyasını oluşturan kişinin “public.key” dosyasını edinin.

Bu kişinin web sitesinden veya bir yazılım ise örneğin, yazılımın README dosyasından bunu bulabilirsiniz. Örneğin;

gpg --keyserver pgp.mit.edu --recv-keys <parmakizi>

Akabinde teyit etmek istediğiniz PGP/ASC imza dosyasını bilgisayarınıza kaydedin ve kaydettiğiniz dizinde bir terminal açın.

gpg --verify <imza_dosyasi>.asc

komutunu verin.

Aşağıdaki gibi (“Good signature” ifadesine dikkat) bir çıktı alırsanız teyit işlemi başarılıdır. Bu çıktıda “BAD signature” ifadesini görürseniz bu imzaya ve/veya imzalanan nesneye güvenmemeniz gerekir.

$ gpg --verify XXX-1.1.12.tar.gz.asc
gpg: assuming signed data in `XXX-1.1.12.tar.gz'
gpg: Signature made Mon 11 Jan 2016 08:08:13 PM EET using RSA key ID 944XXXX6
gpg: Good signature from "X <x@gmail.com>"
gpg:                 aka "X <x@gmx.de>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 3E70 692E XXXX 8BDD A599  1C90 615F XXXX 944B 4826

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir