Verifica gpg KeepassXC con file sig

0

Ho scaricato il file di conservazione di KeepassXC .AppImage e lo stavo verificando utilizzando prima il file .DIGEST e quindi il file .sig . Mentre stavo verificando il download usando il file .sig ho notato qualcosa di strano visto che non ho ottenuto gli stessi risultati. Dopo aver importato le loro chiavi gpg e verificato il file scaricato ho ottenuto il seguente output:

    gpg2 --verify --keyid-format long KeePassXC-2.2.2-2-x86_64.AppImage.sig
gpg: assuming signed data in 'KeePassXC-2.2.2-2-x86_64.AppImage'
gpg: Signature made Tue 24 Oct 2017 09:15:18 AM PDT
gpg:                using RSA key B7A66F03B59076A8
gpg: Good signature from "KeePassXC Release <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: BF5A 669F 2272 CF43 24C1  FDA8 CFB4 C216 6397 D0D2
     Subkey fingerprint: C1E4 CBA3 AD78 D3AF D894  F9E0 B7A6 6F03 B590 76A8

Ecco il loro output visualizzato nella "pagina di firme di verifica" .

$ gpg --verify KeePassXC-$VERSION-x86_64.AppImage.sig
gpg: assuming signed data in 'KeePassXC-$VERSION-x86_64.AppImage'
gpg: Signature made Fri 17 Feb 2017 05:20:55 PM CET
gpg:                using RSA key C1E4CBA3AD78D3AFD894F9E0B7A66F03B59076A8
gpg: Good signature from "KeePassXC Release <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: BF5A 669F 2272 CF43 24C1  FDA8 CFB4 C216 6397 D0D2
     Subkey fingerprint: C1E4 CBA3 AD78 D3AF D894  F9E0 B7A6 6F03 B590 76A8

Si dice che la firma fosse "buona" quando ho verificato il file che ho scaricato. Sono solo curioso di sapere una cosa perché il loro output mostra tutti i sottochiavi messi insieme in "utilizzando il tasto RSA C1E4CBA3AD78D3AFD894F9E0B7A66F03B59076A8" e il mio mostra solo una sottochiave "utilizzando la chiave RSA B7A66F03B59076A8"? Grazie!

    
posta 06.11.2017 - 19:07
fonte

1 risposta

2

In entrambi i casi - il tuo esempio e quello collegato - mostra solo l'unica chiave. Il motivo per cui l'ultimo esempio sembra più lungo non è perché mostra più chiavi concatenate insieme, ma perché nel tuo caso l'impronta digitale della chiave è stata troncata (la linea completa a 40 caratteri è l'impronta digitale, nel caso non fosse chiaro). L'impronta digitale è un modo conveniente per identificare le chiavi, ma in genere non è necessario vedere l'impronta digitale completa per capire a quale chiave viene fatto riferimento da un sottoinsieme noto.

Il tuo caso:

C1E4 CBA3 AD78 D3AF D894 F9E0 B7A6 6F03 B590 76A8

Il loro esempio:

C1E4 CBA3 AD78 D3AF D894 F9E0 B7A6 6F03 B590 76A8

Il flag "--keyid-format long" indica che l'output dovrebbe essere un id della chiave di 16 caratteri, quindi ottieni 16 caratteri. (Non ho familiarità con gpg per sapere se l'output nel loro esempio è l'intero importo perché il flag non è presente, o se il comportamento predefinito è diverso in quella versione di gpg).

    
risposta data 06.11.2017 - 20:02
fonte

Leggi altre domande sui tag