我想下载并验证TortoiseGit-2.8.0.0-64bit.msi
我用gnupg2(在Cygwin中)
TortoiseGit download page提供以下文件:
TortoiseGit-2.8.0.0-64bit.msi
TortoiseGit-2.8.0.0-64bit.msi.rsa.asc
我做了以下验证下载(但得到:没有公钥):
$ gpg2 --auto-key-locate keyserver --keyserver-options auto-key-retrieve --
verify TortoiseGit-2.8.0.0-64bit.msi.rsa.asc TortoiseGit-2.8.0.0-64bit.msi
gpg: Signature made Thu, Feb 28, 2019 4:34:13 PM EST
gpg: using RSA key 74A21AE301B3CA5BD8072F5EF7F17B3F9DD9539E
gpg: requesting key F7F17B3F9DD9539E from hkp server keys.gnupg.net
gpg: Can't check signature: No public key
由于我没有.sig,我试过并得到:
$ gpg2 --import TortoiseGit-2.8.0.0-64bit.msi.rsa.asc
gpg: no valid OpenPGP data found.
gpg: Total number processed: 0
我无法理解如何正确验证此下载 - 如果有人能够显示正确的方法,将不胜感激!
谢谢!
关键在这里:https://download.tortoisegit.org/keys。
由于MSI文件也使用AuthentiCode进行签名,因此最终用户无需真正需要GPG签名。 - 自动更新程序使用GPG签名来验证更新包的完整性(尽管这些也是使用HTTP下载的)。
如果您需要另一个信任根,可以调用TortoiseGitProc.exe /command:pgpfp以显示GPG指纹。