用 PGP 驗證下載的壓縮檔

剛才下載 Hadoop 的東西來試, 看到一些疑似驗證的檔案 KEYS 和 hadoop-0.20.2.tar.gz.asc。雖說不理它也可以繼續做事, 但看到神祕的檔案卻沒弄清楚, 感覺挺彆扭的。以前只試過比對 md5 checksum, 這回是第一次用 PGP。上網查了一下, 大部份文章都說它用在送信、運用 public-private key 來做加解密、以及一些信件相關軟體, 卻沒提到下載檔案的例子。後來靈機一動, 查 "tar.gz.asc" 查到這篇文章, 才找到使用的例子。

在 Ubuntu 下的操作過程:
  1. sudo aptitude install pgpgpg  # 安裝 gpg
  2. 下載 KEYS、hadoop-0.20.2.tar.gz.asc、hadoop-0.20.2.tar.gz
  3. gpg --import KEYS  # 載入壓 hadoop tarball 作者的 PGP public keys
  4. gpg --verify hadoop-0.20.2.tar.gz.asc  # 驗證 tarball 的 signature
試的結果, gpg --verify X.asc 後會拿 X 來計算看看 signature 是否一致。

留言

這個網誌中的熱門文章

(C/C++ ) 如何在 Linux 上使用自行編譯的第三方函式庫

熟悉系統工具好處多多

virtualbox 使用 USB 裝置