不可能GPG簽名驗證

Question

wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/cryptsetup-1.7.3.tar.xz 
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/cryptsetup-1.7.3.tar.sign 
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/sha256sums.asc 

shasum證實：OK

gpg --verify cryptsetup-1.7.3.tar.sign cryptsetup-1.7.3.tar.xz 

輸出是壞：

gpg: Signature made Sun 30 Oct 2016 01:56:01 PM UTC using RSA key ID D93E98FC 
gpg: BAD signature from "Milan Broz <gmazyland@gmail.com>" 

然後

wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/v1.7.3-ReleaseNotes 
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/v1.7.3-ReleaseNotes.sign 

gpg --verify v1.7.3-ReleaseNotes.sign v1.7.3-ReleaseNotes 

這是件好事（雖然警報）：

gpg: Signature made Sun 30 Oct 2016 01:56:09 PM UTC using RSA key ID D93E98FC 
gpg: Good signature from "Milan Broz <gmazyland@gmail.com>" 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg:   There is no indication that the signature belongs to the owner. 
Primary key fingerprint: 2A29 1824 3FDE 4664 8D06 86F9 D9B0 577B D93E 98FC 

我重新測試上的另一個網站：

wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.0.30.tar.bz2 
wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.0.30.tar.bz2.sig 

，一切都一樣好。

然後我去作者的博客（米蘭布羅茲的博客），但下載鏈接導致同一個網站。

我嘗試了一些以前的包和有同樣的問題：

cryptsetup-1.7.1.tar.sign用cryptsetup-1.7.1.tar.gz & cryptsetup-1.7.1.tar.xz

cryptsetup-1.7.2.tar.sign用cryptsetup-1.7.2.tar.gz & cryptsetup-1.7.2.tar.xz

如果我在這裏錯過的東西，PLZ告訴我什麼。 否則，有沒有一個地方可以讓我有這個軟件的正確簽名版本？

thanx人。

Answer 1

是否有一個地方，我可以有一個正確簽署的版本的這個軟件？從官方網站

嘗試：https://gitlab.com/cryptsetup/cryptsetup（現在 - 2017年11月，9個月後，在1.7.5或2.0-RC1）

這是件好事（雖然警報）：

預計會發出警告。請參閱「Check PGP Signature and Install Veracrypt 1.17‘：

的’WARNING: This key is not certified with a trusted signature! There is no indication that the signature belongs to the owner.」指Veracrypt公鑰是不是由您或任何其鍵已簽署簽字，所以你和Veracrypt開發商之間的信任沒有直接的線。
這和預期的一樣。