Come verificare la firma durante il download di log4j?

Naviga le tue risposte
0

Dalla pagina di download log4j .

The PGP signatures can be verified using PGP or GPG. First download the KEYS as well as the asc signature file for the relevant distribution. Make sure you get these files from the main distribution directory, rather than from a mirror. Then verify the signatures using

% gpg --import KEYS

% gpg --verify log4j-1.2.17.tar.gz.asc

Le mie domande sono:

  1. Quale parte della pagina web "KEYS" devo scaricare? Dovrebbero essere inclusi -----BEGIN PGP PUBLIC KEY BLOCK----- e ----END PGP PUBLIC KEY BLOCK----- nella chiave firmata da Christian Grobmeier?

  2. Che cosa significano i KEY in gpg --import KEYS ? 'KEYS' è un file sul desktop locale? Se sì quale formato? txt?

posta JavaDeveloper 14.09.2015 - 15:24
fonte

1 risposta

1

Alla seconda domanda, il KEYS è il file che è collegato sul sito apache. Devi solo scaricarlo così com'è (e per come voglio dire, con tutti i commenti e il --BEGIN --END shenanigans). Basta fare clic con il pulsante destro del mouse e salvarlo in questo modo.

Alla seconda domanda, il comando gpg --import risolverà cosa è una chiave e cosa no, importando tutte le chiavi in blocco.

    
risposta data 14.09.2015 - 15:30
fonte

Leggi altre domande sui tag

Forensics, raccolta di prove contro acquisizione di dati Quanto è sicuro l'url token per i subappaltatori senza account?