2010年5月2日 星期日

用 PGP 驗證下載的壓縮檔

剛才下載 Hadoop 的東西來試, 看到一些疑似驗證的檔案 KEYS 和 hadoop-0.20.2.tar.gz.asc。雖說不理它也可以繼續做事, 但看到神祕的檔案卻沒弄清楚, 感覺挺彆扭的。以前只試過比對 md5 checksum, 這回是第一次用 PGP。上網查了一下, 大部份文章都說它用在送信、運用 public-private key 來做加解密、以及一些信件相關軟體, 卻沒提到下載檔案的例子。後來靈機一動, 查 "tar.gz.asc" 查到這篇文章, 才找到使用的例子。

在 Ubuntu 下的操作過程:
  1. sudo aptitude install pgpgpg  # 安裝 gpg
  2. 下載 KEYS、hadoop-0.20.2.tar.gz.asc、hadoop-0.20.2.tar.gz
  3. gpg --import KEYS  # 載入壓 hadoop tarball 作者的 PGP public keys
  4. gpg --verify hadoop-0.20.2.tar.gz.asc  # 驗證 tarball 的 signature
試的結果, gpg --verify X.asc 後會拿 X 來計算看看 signature 是否一致。

沒有留言:

張貼留言

在 Fedora 下裝 id-utils

Fedora 似乎因為執行檔撞名,而沒有提供 id-utils 的套件 ,但這是使用 gj 的必要套件,只好自己編。從官網抓好 tarball ,解開來編譯 (./configure && make)就是了。 但編譯後會遇到錯誤: ./stdio.h:10...