我正在运行 Devuan Jessie。我想从头开始安装另一个 Devuan Ascii。所以我下载了:
- https://files.devuan.org/devuan_ascii/installer-iso/devuan_ascii_2.0.0_amd64_netinst.iso
- https://files.devuan.org/devuan_ascii/installer-iso/SHA256SUMS
- https://files.devuan.org/devuan_ascii/installer-iso/SHA256SUMS.asc
- https://files.devuan.org/devuan_ascii/devuan-devs.gpg
但我发现没有办法进行身份验证devuan-devs.gpg。
其他发行版(如 Debian 或 Ubuntu 或类似发行版)允许我从现有的先前版本验证 ISO。
但是对于Devuan,我没有找到任何办法:
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-archive-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --no-default-keyring --keyring /usr/share/keyrings/devuan-keyring.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Can't check signature: public key not found
tino@ts:~/ISO/devuan_ascii-2.0.0$ gpg --keyring ../devuan-devs.gpg --verify SHA256SUMS.asc
gpg: assuming signed data in `SHA256SUMS'
gpg: Signature made Wed 06 Jun 2018 08:55:55 PM CEST using DSA key ID 0B5F062F
gpg: Good signature from "Vincenzo (KatolaZ) Nicosia <[email protected]>"
gpg: aka "Vincenzo Nicosia (KatolaZ) <[email protected]>"
gpg: aka "Vincenzo Nicosia (KatolaZ) <[email protected]>"
gpg: aka "KatolaZ <[email protected]>"
gpg: aka "Enzo Nicosia <[email protected]>"
gpg: aka "Enzo Nicosia -- KatolaZ <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8E59 D6AA 445E FDB4 A153 3D5A 5F20 B3AE 0B5F 062F
由于“钥匙未经认证”,没有迹象表明钥匙不是假的。 如何修复这条破碎的信任链?
https://devuan.org/os/documentation/dev1fanboy/general-information也没有解决这个谜。
笔记:
devuan-devs.gpg大概不是假的。然而,这种假设并没有帮助。必须有某种方法来确保它不是假的。最初的母鸡问题已经解决了,因为 Devuan (Jessie) 已经在我身边跑了。
肯定有比将 Jessie 升级到 Ascii 更好的方法来验证 Ascii 的 ISO。正确的?
为了读者的利益,我找到了一点帮助。这不是很多,但它是一小步。(现在我保留接受的答案,它仍然是最好的答案。)
这是 Devuan 的“旧”键的输出:
这是 Devuan 的“新”键的输出:
你可以发现两件事:
102EFE3BBA4B2E45EBD56C7A27B9FAA4EBAA93A1因此,如果您找到一些您信任的旧密钥,您可以检查新密钥是否基于旧密钥,这样您也可以信任新密钥。(嗯,不太可能有人破解了私钥,能够破坏 Devuan 上传公钥上的虚假更新,而没有人检测到这一点。)
考虑到安全性,我没有找到一种方法来正确、轻松地自动执行此类更新,抱歉。所以我们所拥有的只有这种非常繁琐且极易出错(人类不擅长检查两个长十六进制字符串是否真的相同)的手动方式。
我没有找到摆脱的方法
gpg: WARNING:(除了用 忽略它2>/dev/null,但忽略 STDERR 可能是当你想做正确的事情时你能做的最愚蠢的事情)。现在我们确信新密钥不会比旧密钥差,我们可以这样做:
不幸的是,似乎没有更好的方法来验证图像:
SHA256SUMS文件的密钥在之前的 Devuan 版本中不可用;相同的密钥可从密钥服务器和已发布的密钥环中获得这一事实可能被解释为提供了更多保证,但我不确定它是否确实如此,因为我们仍然不知道所有者是合法的 Devuan 发布签名者。