主題: MD5 與 GPG Key 在做rpm套件的驗證該如何使用？

[任]

因為RedHat7.3安裝失敗(有套件在下載過程損壞）
為了在未安裝套件前就得知那些分套是壞的
我如此做
-------------------------------------------------
先cd 到RPMS目錄
rpm -K * |grep NOT >> ~/Badrpm

vi ~/Badrpm 就可以看到那些套件壞了
--------------------------------------------------
我先在Mandrake下驗證得到53套有問題(但它找不到GPG,回應的GPG像是同一組碼）

之後，我回到只安裝基底的RedHat下驗證（似乎找到了GPG，但幾乎回應每一套都是錯的）我判斷，GPG Key是壞的。
所以改成
-------------------------------------------------
先cd 到RPMS目錄
rpm -K --nogpg * |grep NOT >> ~/Badrpm

vi ~/Badrpm 就可以看到那些套件壞了
--------------------------------------------------

和之前用Mandrake驗證的完全不同。

MD5碼與 GPG Key 該怎麼用法才對？

[kenny]

因為採用的演算法不一樣﹐所有驗證方法也不一樣。

如果您是手工進行嚴重的話﹐看到 *.md5 的檔﹐就是驗證值﹐只要您用 md5sum 來計算源檔案﹐也可以得出一個驗證值﹐再比對 *.md5 的值就知道內容是否一致了。

如果是 pgp 簽名的﹐通常都有一個 *.sign 的檔﹐我原本以為用 gpg (註﹕在 linux 使用的是 GNU PGP﹐所以是 gpg 而不是 pgp ) 就可以檢驗了﹐不過我卻試不出來。有哪位朋友可以告訴我嗎﹖

我使用 gpg --verify linux-2.4.16.tar.bz2.sign linux-2.4.16.tar.bz2
只能得到如下結果﹕
gpg: Signature made 西元2001年11月26日 (星期一) 21時36分33秒 CST using DSA key ID 517D0F0E
gpg: Can't check signature: public key not found