Я не знаю, где или как получить открытый ключ для gmp. Достаточно ли хороша эта проверка отпечатков пальцев?
Ключ обычно можно получить от открытых серверов ключей на основе его идентификатора или отпечатка пальца.
gpg --recv-key '343C 2FF0 FBEE 5EC2 EDBE F399 F359 9FF8 28C6 7298'
В качестве альтернативы:
gpg --auto-key-retrieve --verify gmp-6.1.2.tar.lz.sig gmp-6.1.2.tar.lz
Сравнение его отпечатка пальца достаточно, чтобы убедиться, что вы получили правильный ключ.
Это не кажется очень безопасным, так как я проверяю подпись файла на том же веб-сайте, с которого я скачал файл.
На самом деле, это не очень безопасно. Вы должны попытаться проверить отпечаток пальца, используя другие средства, например, иногда это является частью объявлений о выпуске в архивах списков рассылки; Я иногда использую web.archive.org, чтобы убедиться, что сайт не изменился в последнее время.
(«Традиционный» механизм PGP, сеть доверия, к сожалению, здесь не очень полезен.)
Проверка все еще может быть полезной, хотя:
Этот же ключ используется для подписи многих выпусков. Даже если вы не знаете, чей это ключ, этого может быть достаточно, чтобы знать, что это тот же ключ, который законно подписывал релизы в течение последних нескольких лет.
Фактическая загрузка может быть размещена на различных зеркальных сайтах. Если вы доверяете основному веб-сайту проекта, вы можете использовать эту информацию для проверки архивов, загруженных откуда угодно.