Ho scaricato il file di conservazione di KeepassXC .AppImage
e lo stavo verificando utilizzando prima il file .DIGEST
e quindi il file .sig
. Mentre stavo verificando il download usando il file .sig
ho notato qualcosa di strano visto che non ho ottenuto gli stessi risultati. Dopo aver importato le loro chiavi gpg e verificato il file scaricato ho ottenuto il seguente output:
gpg2 --verify --keyid-format long KeePassXC-2.2.2-2-x86_64.AppImage.sig
gpg: assuming signed data in 'KeePassXC-2.2.2-2-x86_64.AppImage'
gpg: Signature made Tue 24 Oct 2017 09:15:18 AM PDT
gpg: using RSA key B7A66F03B59076A8
gpg: Good signature from "KeePassXC Release <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: BF5A 669F 2272 CF43 24C1 FDA8 CFB4 C216 6397 D0D2
Subkey fingerprint: C1E4 CBA3 AD78 D3AF D894 F9E0 B7A6 6F03 B590 76A8
Ecco il loro output visualizzato nella "pagina di firme di verifica" .
$ gpg --verify KeePassXC-$VERSION-x86_64.AppImage.sig
gpg: assuming signed data in 'KeePassXC-$VERSION-x86_64.AppImage'
gpg: Signature made Fri 17 Feb 2017 05:20:55 PM CET
gpg: using RSA key C1E4CBA3AD78D3AFD894F9E0B7A66F03B59076A8
gpg: Good signature from "KeePassXC Release <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: BF5A 669F 2272 CF43 24C1 FDA8 CFB4 C216 6397 D0D2
Subkey fingerprint: C1E4 CBA3 AD78 D3AF D894 F9E0 B7A6 6F03 B590 76A8
Si dice che la firma fosse "buona" quando ho verificato il file che ho scaricato. Sono solo curioso di sapere una cosa perché il loro output mostra tutti i sottochiavi messi insieme in "utilizzando il tasto RSA C1E4CBA3AD78D3AFD894F9E0B7A66F03B59076A8" e il mio mostra solo una sottochiave "utilizzando la chiave RSA B7A66F03B59076A8"? Grazie!