如何檢測Linux系統(tǒng)已下載文件的完整性(3)

　　這里有多種情況，如果你只有簽名，但生成簽名的文件不存在時（系統(tǒng)沒找到，一般應(yīng)該放在同目錄下面），返回的是：

　　代碼如下：

　　gpg： 不含簽名的數(shù)據(jù)

　　gpg： can‘t hash datafile： No data

　　當你有文件的時候，但還沒有與簽名對應(yīng)的公鑰時，gpg返回的信息類似下面：

　　代碼如下：

　　gpg： 于 2013年05月06日 星期一 18時27分27秒 CST 創(chuàng)建的簽名，使用 RSA，鑰匙號 47ACDAFB

　　gpg： 無法檢查簽名：No public key

　　注意：上面的信息在不同的文件和操作系統(tǒng)上生成的信息是不同的。但在沒有公鑰的時候，你可以發(fā)現(xiàn)gpg提供了一個該簽名對應(yīng)的鑰匙號：47ACDAFB，這個是我們需要找的公鑰。

　　上面已經(jīng)說過，發(fā)布者已經(jīng)將公鑰發(fā)布到公鑰服務(wù)器中，供驗證者下載，因此我們需要到公鑰服務(wù)器中下載公鑰，要下載公鑰，鑰匙號就很重要了。

　　可用的公鑰服務(wù)器可以通過wikipedia 上的Key Server條目來查看常用的一些key服務(wù)器列表。這里使用hkp://pgp.mit.edu：

　　代碼如下：

　　# 獲取服務(wù)器上的public key

　　$ gpg --keyserver hkp://pgp.mit.edu --recv-keys 47ACDAFB

　　gpg： 下載密鑰‘47ACDAFB’，從 hkp 服務(wù)器 pgp.mit.edu

　　gpg： 密鑰 47ACDAFB：公鑰“Stephan Mueller 《Stephan.Mueller@atsec.com》”已導(dǎo)入

　　gpg： 沒有找到任何絕對信任的密鑰

　　gpg： 合計被處理的數(shù)量：1

　　gpg： 已導(dǎo)入：1

　　--recv-keys要與--keyserver配合使用，導(dǎo)入密鑰對的公鑰之后，我們就能夠使用這個公鑰來驗證我們的簽名了。

　　再次運行我們之前的驗證命令（gpg --verify sign-file），就可以看到驗證的結(jié)果了。

　　代碼如下：

　　#這時候我們再次驗證我們的簽名，就能得到驗證結(jié)果了

　　$ gpg --verify downloaded-file-sign.asc

　　gpg： 于 2013年05月06日 星期一 18時27分27秒 CST 創(chuàng)建的簽名，使用 RSA，鑰匙號 47ACDAFB

　　gpg： 完好的簽名，來自于“Stephan Mueller 《Stephan.Mueller@atsec.com》”

　　gpg： 警告：這把密鑰未經(jīng)受信任的簽名認證！

　　gpg： 沒有證據(jù)表明這個簽名屬于它所聲稱的持有者。

　　主鑰指紋： B0F4 2D33 73F8 F6F5 10D4 2178 520A 9993 A1C0 52F8

　　看到這個結(jié)果，至少確認一個結(jié)果：這個文件是沒有被篡改過的。

　　一般我們到這步也就差不多了。

　　但注意消息里面有個警告，說明這個是未受信任的簽名認證。因為這個公鑰誰都可以發(fā)布上去的，如果你確實需要進一步認證，可以在簽名認證之前，你能還要聯(lián)系下真正的發(fā)布者，確認這個密鑰的信息——指紋！這個是這個算法的一個弱點。

　　如果簽名認證已經(jīng)通過，你也就可以安心的在自己的系統(tǒng)內(nèi)編譯，安裝它了。

　　上面就是校檢Linux系統(tǒng)中下載文件的完整性的方法介紹了，相信很多人都沒有校檢下載文件完整性的習慣，如果能夠在安裝前進行檢驗的話，就能夠減少很多不必要的麻煩。如果你還想了解更多Linux系統(tǒng)的相關(guān)知識，不妨多多關(guān)注系統(tǒng)之家吧。