¿Cómo verificar la firma al descargar log4j?

Navega tus respuestas
0

Desde la página de descarga de log4j .

  

Las firmas de PGP se pueden verificar mediante PGP o GPG. Primero descargue las LLAVES así como el archivo de firma asc para la distribución relevante. Asegúrese de obtener estos archivos desde el directorio de distribución principal, en lugar de hacerlo desde un espejo. Luego verifique las firmas usando

     

% gpg --import KEYS

     

% gpg - verifica log4j-1.2.17.tar.gz.asc

Mis preguntas son:

  1. ¿Qué parte de la página web 'KEYS' necesito descargar? ¿Deberían incluirse -----BEGIN PGP PUBLIC KEY BLOCK----- y ----END PGP PUBLIC KEY BLOCK----- en la clave firmada por Christian Grobmeier?

  2. ¿Qué significa KEYs en gpg --import KEYS ? ¿Es 'KEYS' un archivo en el escritorio local? En caso afirmativo, ¿qué formato? txt?

pregunta JavaDeveloper 14.09.2015 - 15:24
fuente

1 respuesta

1

A la segunda pregunta, las LLAVES son el archivo que está vinculado en el sitio de apache. Solo tienes que descargarlo tal como está (y como está, quiero decir, con todos los comentarios y los --BEGIN --END chanchullos). Simplemente haga clic derecho en el enlace y guárdelo de esta manera.

A la segunda pregunta, el comando gpg --import ordenará qué es una clave y qué no, importando todas las claves de forma masiva.

    
respondido por el M'vy 14.09.2015 - 15:30
fuente

Lea otras preguntas en las etiquetas

¿Qué tan segura es esta URL de token para subcontratistas sin cuentas? Proteger archivos php desde una inclusión externa [cerrado]