Проверка Apache/Tomcat и Ant с использованием GnuPG

как, черт возьми, можно проверить подпись дистрибутива для apache Tomcat или ant? я использовал GnuPG, и, похоже, он не помогает, несмотря на предупреждения по всему сайту apache о необходимости сначала проверить файлы.

используя окна... если это поможет.

ШАГИ:
1) скачать бинарную версию .exe / .zip / .asc / файл KEYS
2) gpg --import KEYS
3) gpg --verify файл *.asc
4) лучшее, что я могу получить, это сообщение. заявив
«Этот ключ не сертифицирован надежной подписью!
Нет никаких указаний на то, что подпись принадлежит владельцу». ...и отпечаток первичного ключа.

Я предполагаю, что это НЕ действительная проверка.


apache tomcat verification ant
person Community    schedule 15.06.2009    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Нет, это действительно. Это просто означает, что вы не пометили ключ как доверенный. Это сложно (но не невозможно) сделать безопасно.

По сути, вам нужно встретиться с самим подписывающим лицом и лично проверить отпечаток пальца или (возможно, рекурсивно) довериться чьей-либо проверке таковой.

person Matthew Flaschen    schedule 15.06.2009
comment
да, я пытался встретиться с ней за кофе... но я был слишком занят общением с людьми, которые проверяли мои подписи для winzip, ant, glassfish, jdk, netbeans, metro, sha1sum и gpg. серьезно - сообщество разработчиков или нет ... вы могли бы подумать, что кто-то возьмет бразды правления, создаст и разместит файлы для загрузки (один человек делает это для tomcat и т. д.), таким образом, вам не нужно проверять подпись - файл был загружен из официального источника (apache.org). я сумасшедший? в любом случае - спасибо за быстрый ответ / я ценю разъяснения. - person ; 15.06.2009