Bagaimana cara saya memverifikasi sidik jari kunci asc?

15

Saat ini, saya sedang mencoba untuk memeriksa sidik jari dari kunci oracle_vbox.asc yang saya unduh dari http://www.virtualbox.org/wiki/Linux_Downloads : mereka memberikan kunci dan sidik jari tetapi tidak ada instruksi untuk meninjau informasi ini. diri.

Bagaimana cara memperlihatkan sidik jari kunci yang baru saya unduh?

apt-key finger oracle_vbox.asc menunjukkan sidik jari dari semua kunci tepercaya, yang bukan yang saya inginkan.

Amanda
sumber

Jawaban:

19

Dapatkan kuncinya:

$ wget http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc

Cetak sidik jari kunci dengan GPG versi 1:

$ gpg --with-fingerprint oracle_vbox.asc 
pub  1024D/98AB5139 2010-05-18 Oracle Corporation
                      (VirtualBox archive signing key) <[email protected]>
      Key fingerprint = 7B0F AB3A 13B9 0743 5925  D9C9 5442 2A4B 98AB 5139
sub  2048g/281DDC4B 2010-05-18
      Key fingerprint = 27B0 97CF 8257 4209 C434  8D42 B674 8A65 281D DC4B

Perhatikan bahwa sidik jari ke-2 hanyalah sidik jari dari tombol-kecil.

Cetak sidik jari dengan GPG versi 2:

$ gpg2 -n -q --import --import-options import-show  oracle_vbox.asc   
pub   dsa1024 2010-05-18 [SC]
      7B0FAB3A13B907435925D9C954422A4B98AB5139
uid   Oracle Corporation (VirtualBox archive signing key) <[email protected]>
sub   elg2048 2010-05-18 [E]

Perhatikan bahwa -nini adalah alias untuk --dry-run, artinya kuncinya sebenarnya tidak diimpor.

Atau, untuk hanya menampilkan sidik jari:

$ gpg2 -nq --import --import-options import-show --with-colons oracle_vbox.asc \
     | awk -F: '$1 == "fpr" { print $10 }'
7B0FAB3A13B907435925D9C954422A4B98AB5139
27B097CF82574209C4348D42B6748A65281DDC4B
maxschlepzig
sumber
Apakah ada perintah analog tanpa menggunakan gpg? Maksud saya, di SSH, saya bisa melakukannya cat ./id_rsa.pub | awk '{print $2}' | base64 -d | md5sumdan itu akan mengembalikan saya MD5 hash yang sama dengan hash sidik jari ssh -lf ./id_rsa.pub. Apakah ada cara serupa untuk melakukannya dengan kunci publik GPG?
user3019105
2
@ user3019105, tidak, tidak ada. Format kunci publik PGP sedikit lebih rumit. Lihat RFC 4880 dan kode sumber GPG untuk detailnya.
maxschlepzig
RFC mengatakan (tentang sidik jari usang MD5) The fingerprint of a V3 key is formed by hashing the body (but not the two-octet length) of the MPIs that form the key material (public modulus n, followed by exponent e) with MD5.:, tidak bisakah saya mendapatkan tubuh MPI ini diberikan file kunci publik Armor ASCII (Radix-64)?
user3019105
@ user3019105, Anda bisa. Anda dapat menduplikasi apa yang sudah diterapkan di GPG. Tetapi baris perintah seperti itu akan jauh lebih rumit daripada yang Anda posting untuk kunci publik ssh. Jadi, itu tidak akan analog.
maxschlepzig
Ok terima kasih, tapi saya masih perlu mencari tahu bagaimana untuk mendapatkan body of the MPIs that form the key materialpembicaraan tentang RFC
user3019105
5

Langkah 1

$ deb http://download.virtualbox.org/virtualbox/debian artful contrib

Langkah 2

$ wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -

Langkah 3

$ apt-key list

atau, yang setara,

$ apt-key finger

yang harus kembali

/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2016-04-22 [SC]
      B9F8 D658 297A F3EF C18D  5CDF A2F6 83C5 2980 AECF
uid           [ unknown] Oracle Corporation (VirtualBox archive signing key) <[email protected]>
sub   rsa4096 2016-04-22 [E]

yang pada gilirannya harus setara dengan

Sidik jari kunci untuk oracle_vbox_2016.asc adalah

B9F8 D658 297A F3EF C18D  5CDF A2F6 83C5 2980 AECF
Oracle Corporation (VirtualBox archive signing key) <[email protected]>

di https://www.virtualbox.org/wiki/Linux_Downloads , baik dengan inspeksi visual atau fu baris perintah lebih lanjut.


Tautan yang berhubungan:

gila tentang natty
sumber
pertanyaan ini tidak ada penjelasan ...
gila tentang natty
0

Anda memiliki kunci dan sidik jari? Lari:

ssh-keygen -lf key.pub

terhadap tombol untuk mendapatkan sidik jari.

ssh-keygenreferensi: http://www.manpagez.com/man/1/ssh-keygen/

mario
sumber
3
ssh-keygen tidak mengenali "oracle_vbox.asc" sebagai file kunci publik.
Amanda
kesalahan saya, perintahnya harus "ssh-keygen -lf" Apakah Anda masih mendapatkan nerror?
mvario
4
Ini tidak bekerja.
maxschlepzig
ssh-keygen-lf oracle_vbox_2016.asc oracle_vbox_2016.asc bukan file kunci publik.
Scott Stensland
2
ssh-keygen bukan untuk kunci PGP.
Geoffrey
0

Ini berfungsi dengan GPG 2 (setidaknya saya bisa memeriksanya dengan versi 2.1.18dan 2.2.12):

wget http://download.virtualbox.org/virtualbox/debian/oracle_vbox.asc
gpg_home=$(mktemp -d)
gpg --homedir "$gpg_home" --import oracle_vbox.asc
# gpg: keybox '/tmp/tmp.CHoWuJBy7N/pubring.kbx' created
# gpg: /tmp/tmp.CHoWuJBy7N/trustdb.gpg: trustdb created
# gpg: key 54422A4B98AB5139: public key "Oracle Corporation (VirtualBox archive signing key) <[email protected]>" imported
# gpg: Total number processed: 1
# gpg:               imported: 1
gpg --homedir "$gpg_home" --list-keys
# /tmp/tmp.CHoWuJBy7N/pubring.kbx
# -------------------------------
# pub   dsa1024 2010-05-18 [SC]
#       7B0FAB3A13B907435925D9C954422A4B98AB5139
# uid           [ unknown] Oracle Corporation (VirtualBox archive signing key) <[email protected]>
# sub   elg2048 2010-05-18 [E]
# 

Sumber: /unix//a/468889

ominug
sumber