Ich weiß nicht wo oder wie man den öffentlichen Schlüssel für gmp erhält. Ist dieser Fingerabdruck gut genug?
Der Schlüssel kann normalerweise von öffentlichen Schlüsselservern bezogen auf seine ID oder seinen Fingerabdruck bezogen werden.
gpg --recv-key '343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298'
Alternative:
gpg --auto-key-retrieve --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz
Ein Vergleich des Fingerabdrucks reicht aus, um sicherzustellen, dass Sie den richtigen Schlüssel erhalten.
Dies scheint nicht sehr sicher zu sein, da ich die Signatur der Datei von derselben Website, von der ich die Datei heruntergeladen habe, überprüfe.
In der Tat ist es nicht sehr sicher. Sie sollten versuchen, den Fingerabdruck auf andere Weise zu überprüfen, z. B. ist er Teil der Veröffentlichungsankündigungen in Mailinglisten-Archiven. Manchmal verwende ich web.archive.org, um sicherzustellen, dass sich die Website in letzter Zeit nicht geändert hat.
(Der "traditionelle" PGP-Mechanismus, Web of Trust, ist hier leider nicht sehr nützlich.)
Die Überprüfung kann dennoch nützlich sein:
Mit demselben Schlüssel werden viele Releases signiert. Selbst wenn Sie nicht wissen, um welchen Schlüssel es sich handelt, kann es dennoch ausreichend sein zu wissen, dass es sich um denselben Schlüssel handelt, der in den letzten Jahren rechtmäßig Veröffentlichungen unterzeichnet hat.
Der eigentliche Download kann auf verschiedenen Mirror-Sites gehostet werden. Wenn Sie der Hauptprojektwebsite vertrauen, können Sie mit diesen Informationen von überall heruntergeladene Archive überprüfen.