KeepassXC verificación de gpg con archivo sig

0

Descargué el archivo KeepassXC .AppImage y lo verifiqué utilizando primero el archivo .DIGEST y luego el archivo .sig . Mientras estaba verificando la descarga usando el archivo .sig , noté algo extraño ya que no obtuve los mismos resultados que se muestran. Después de importar sus claves gpg y verificar el archivo descargado obtuve el siguiente resultado:

    gpg2 --verify --keyid-format long KeePassXC-2.2.2-2-x86_64.AppImage.sig
gpg: assuming signed data in 'KeePassXC-2.2.2-2-x86_64.AppImage'
gpg: Signature made Tue 24 Oct 2017 09:15:18 AM PDT
gpg:                using RSA key B7A66F03B59076A8
gpg: Good signature from "KeePassXC Release <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: BF5A 669F 2272 CF43 24C1  FDA8 CFB4 C216 6397 D0D2
     Subkey fingerprint: C1E4 CBA3 AD78 D3AF D894  F9E0 B7A6 6F03 B590 76A8

Aquí se muestra su salida en su "página de verificación de firmas" .

$ gpg --verify KeePassXC-$VERSION-x86_64.AppImage.sig
gpg: assuming signed data in 'KeePassXC-$VERSION-x86_64.AppImage'
gpg: Signature made Fri 17 Feb 2017 05:20:55 PM CET
gpg:                using RSA key C1E4CBA3AD78D3AFD894F9E0B7A66F03B59076A8
gpg: Good signature from "KeePassXC Release <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: BF5A 669F 2272 CF43 24C1  FDA8 CFB4 C216 6397 D0D2
     Subkey fingerprint: C1E4 CBA3 AD78 D3AF D894  F9E0 B7A6 6F03 B590 76A8

Dice que la firma era "buena" cuando verifiqué el archivo que descargué. Solo tengo curiosidad por una cosa, ¿por qué su salida muestra todas las subclaves puestas juntas en "utilizando la clave RSA C1E4CBA3AD78D3AFD894F9E0B7A66F03B59076A8" y la mía solo muestra una clave secundaria "con la clave RSA B7A66F03B59076A8"? Gracias!

    
pregunta 06.11.2017 - 19:07
fuente

1 respuesta

2

En ambos casos, su ejemplo y el que está vinculado, solo muestra una tecla. La razón por la que el último ejemplo parece más largo no es porque muestre varias claves concatenadas juntas, sino porque en su caso se truncó la huella dactilar de la clave (la línea completa de 40 caracteres es la huella dactilar, en caso de que no esté clara). La huella digital es una forma conveniente de identificar las claves, pero normalmente no necesita ver la huella digital completa para averiguar a qué clave se hace referencia desde un subconjunto conocido.

Su caso:

  

C1E4 CBA3 AD78 D3AF D894 F9E0 B7A6 6F03 B590 76A8

Su ejemplo:

  

C1E4 CBA3 AD78 D3AF D894 F9E0 B7A6 6F03 B590 76A8

El indicador "--keyid-format long" indica que la salida debe ser una identificación de clave de 16 caracteres, para que obtenga 16 caracteres. (No estoy lo suficientemente familiarizado con gpg para saber si la salida en su ejemplo es la cantidad total porque la bandera no está presente, o si el comportamiento predeterminado es diferente en esa versión de gpg).

    
respondido por el Chris 06.11.2017 - 20:02
fuente

Lea otras preguntas en las etiquetas