Estou tentando verificar a soma de verificação SHA512 conforme Debian 10.5-amd-netinst.isoencontradano site oficial de imagens de CD do Debian.
Estou me deparando com o seguinte erro:
gpg --no-default-keyring --keyring Debian\ CD\ signing\ key\ \(6294BE9B\)\ –\ Public.asc --verify SHA512SUMS.sign
gpg: assuming signed data in 'SHA512SUMS'
gpg: Signature made Sat 1 Aug 22:01:33 2020 EDT
gpg: using RSA key DF9B9C49EAA9298432589D76DA87E80D6294BE9B
gpg: key DA87E80D6294BE9B: new key but contains no user ID - skipped
gpg: Total number processed: 1
gpg: w/o user IDs: 1
gpg: Can't check signature: No public key
Procurando na web e em outras postagens, algumas pessoas sugeriram o uso de diferentes servidores de chaveiro para recuperar a chave, porque alguns deles têm um sistema de aprovação do proprietário que removerá todos os IDs de usuário, a menos que o proprietário do endereço de e-mail correspondente tenha permitido que eles fossem publicados. Tentei uma dúzia de servidores principais diferentes e nenhum deles parece resolver o problema.
Alguma ideia sobre qual poderia ser o problema ou como posso resolvê-lo?
Responder1
O argumento GnuPG --keyringnão aceita um arquivo blindado ASCII como entrada. A maneira mais fácil de verificar isso é fazer o seguinte:
$ gpg --keyserver hkp://pool.sks-keyservers.net --recv-keys DF9B9C49EAA9298432589D76DA87E80D6294BE9B
$ gpg --no-armor -o keyring.gpg --export DF9B9C49EAA9298432589D76DA87E80D6294BE9B
$ gpg --no-default-keyring --keyring keyring.gpg --keyserver-options none --verify SHA512SUMS.sign
Observe que você também pode usar gpgvpara verificar dados se quiser restringir a verificação a um conjunto específico de chaveiros e não buscar as chaves de um servidor de chaves se elas estiverem faltando. Se você está pensando em fazer isso em um programa e precisa de mais do que o status de saída, --status-fdé seu amigo.