如何驗證Linux tarball的完整性？

Question

可以使用.sign文件驗證從https://www.kernel.org/獲得的Linux版本的tarball。沒有任何信息如何驗證網站上的壓縮包或壓縮包中的README。

Answer 1

以下內容源自kernel.org站點上的說明Linux kernel releases PGP signatures。這不能不（部分），第一次（也是唯一一次）安裝像

$ gpg --keyserver hkp://keys.gnupg.net --recv-keys 6092693E 

公鑰然後你就可以驗證簽名像

$ xz -cd linux-3.1.5.tar.xz | gpg --verify linux-3.1.5.tar.sign - 

與預期輸出類似

gpg: Signature made Fri 09 Dec 2011 12:16:46 PM EST using RSA key ID 6092693E 
gpg: Good signature from "Greg Kroah-Hartman 
    (Linux kernel stable release signing key) <greg@kroah.com>" 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg:   There is no indication that the signature belongs to the owner. 
Primary key fingerprint: 647F 2865 4894 E3BD 4571 99BE 38DB BDC8 6092 693E