7df604754a80c2ee902cc23df1b0bcbf2c3d8a96
Pei Hanru new verifying-signatures.wm...

Pei Hanru authored 15 years ago

1) ## translation metadata
Pei Hanru Updated zh-cn translation.

Pei Hanru authored 15 years ago

2) # Based-On-Revision: 20019
Pei Hanru new verifying-signatures.wm...

Pei Hanru authored 15 years ago

3) # Translation-Priority: 2-medium
4) # Last-Translator: peihanru AT gmail.com
5) 
6) #include "head.wmi" TITLE="验证签名" CHARSET="UTF-8"
7) 
8) <div class="main-column">
9) 
10) <h2>如何验证软件包的签名</h2>
11) <hr />
12) 
13) <p><a href="<page download>">我们的下载页面</a>中每一个文件都附带了一个与软件包有着相同名字的文件,
14) 其扩展名是“.asc”。例如,最新的 Windows 安装套件:<package-win32-bundle-stable-sig>。</p>
15) 
16) <p>这些 .asc 文件是 PGP 签名。通过它们你可以验证你所下载的文件确实由我们所提供。</p>
17) 
18) <p>当然,你需要首先知道我们的 PGP 密钥:如果不知道 PGP 密钥,你就无法证实签名确实来自我们。
19) 我们使用的签名密钥是:</p>
20) <ul>
21) <li>Roger's (0x28988BF5) 通常对源代码文件进行签名。</li>
22) <li>Nick's (0x165733EA, 或子密钥 0x8D29319A)</li>
23) <li>Andrew's (0x31B0974B)</li>
24) <li>Peter's (0x94C09C7F, 或子密钥 0xAFA44BDD)</li>
25) <li>Matt's (0x5FA14861)</li>
26) <li>Jacob's (0x9D0FACE4)</li>
27) </ul>
28) 
29) <h3>第一步:导入密钥</h3>
30) <hr />
31) <p>你能直接通过 GnuPG 导入密钥</p>
32) 
33) <pre>gpg --keyserver subkeys.pgp.net --recv-keys 0x28988BF5</pre>
34) 
35) <p>或搜索密钥</p>
36) 
37) <pre>gpg --keyserver subkeys.pgp.net --search-keys 0x28988BF5</pre>
38) 
Pei Hanru Updated zh-cn translation.

Pei Hanru authored 15 years ago

39) <p>当你选择其中一个时,它将被加入你的密钥环(keyring)。</p>
Pei Hanru new verifying-signatures.wm...

Pei Hanru authored 15 years ago

40) 
41) <h3>第二步:验证指纹</h3>
42) <hr />
43) <p>使用下列命令验证 PGP 指纹</p>
44) <pre>gpg --fingerprint (在这里输入密钥 ID)</pre>
45) <p>密钥的指纹应该是</p>
46) 
47) <pre>
48) pub   1024D/28988BF5 2000-02-27
49)       Key fingerprint = B117 2656 DFF9 83C3 042B  C699 EB5A 896A 2898 8BF5
50) uid                  Roger Dingledine &lt;arma@mit.edu&gt;
51) 
52) pub   3072R/165733EA 2004-07-03
53)       Key fingerprint = B35B F85B F194 89D0 4E28  C33C 2119 4EBB 1657 33EA
54) uid                  Nick Mathewson &lt;nickm@alum.mit.edu&gt;
55) uid                  Nick Mathewson &lt;nickm@wangafu.net&gt;
56) uid                  Nick Mathewson &lt;nickm@freehaven.net&gt;
57) 
58) pub  1024D/31B0974B 2003-07-17
59)      Key fingerprint = 0295 9AA7 190A B9E9 027E  0736 3B9D 093F 31B0 974B
60) uid                  Andrew Lewman (phobos) &lt;phobos@rootme.org&gt;
61) uid                  Andrew Lewman &lt;andrew@lewman.com&gt;
62) uid                  Andrew Lewman &lt;andrew@torproject.org&gt;
63) sub   4096g/B77F95F7 2003-07-17
64) 
65) pub   1024D/94C09C7F 1999-11-10
66)       Key fingerprint = 5B00 C96D 5D54 AEE1 206B  AF84 DE7A AF6E 94C0 9C7F
67) uid                  Peter Palfrader
68) uid                  Peter Palfrader &lt;peter@palfrader.org&gt;
69) uid                  Peter Palfrader &lt;weasel@debian.org&gt;
70) 
71) pub   1024D/5FA14861 2005-08-17
72)       Key fingerprint = 9467 294A 9985 3C9C 65CB  141D AF7E 0E43 5FA1 4861
73) uid                  Matt Edman &lt;edmanm@rpi.edu&gt;
74) uid                  Matt Edman &lt;Matt_Edman@baylor.edu&gt;
75) uid                  Matt Edman &lt;edmanm2@cs.rpi.edu&gt;
76) sub   4096g/EA654E59 2005-08-17
77) 
78) pub   1024D/9D0FACE4 2008-03-11 [expires: 2010-03-11]
79)       Key fingerprint = 12E4 04FF D3C9 31F9 3405  2D06 B884 1A91 9D0F ACE4
80) uid                  Jacob Appelbaum &lt;jacob@appelbaum.net&gt;
81) sub   4096g/D5E87583 2008-03-11 [expires: 2010-03-11]
82) </pre>
83) 
84) <p>(如果你想要进一步确认密钥的真实性,你应该在多个不同的地方进行检查;
85) 更好的方法是通过对密钥进行签名建立一条到这些密钥的可信路径。)</p>
86) 
87) <h3>第三步:验证下载的软件包</h3>
88) <hr />
89) <p>如果你使用的是 GnuPG,将下载的软件包连同 .asc 文件置于相同的目录中,
90) 然后输入“gpg --verify (whatever).asc (whatever)”。
91) 使用下面的命令,你将得到“Good 签名”或“BAD 签名”这样的结果:</p>
92) 
93) <pre>
94) gpg --verify tor-0.1.0.17.tar.gz.asc tor-0.1.0.17.tar.gz
95) gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5
96) gpg: Good signature from "Roger Dingledine &lt;arma@mit.edu&gt;"
97) gpg:                 aka "Roger Dingledine &lt;arma@mit.edu&gt;"
98) gpg: WARNING: This key is not certified with a trusted signature!
99) gpg:          There is no indication that the signature belongs to the owner.
100) Primary key fingerprint: B117 2656 DFF9 83C3 042B  C699 EB5A 896A 2898 8BF5
101) </pre>
102) 
103) <p>
104) 请注意这里有一条警告,因为你并未将相应密钥设为可信的。这意味着程序仅仅验证了签名由那一密钥生成。
105) 用户需要自行判断密钥确实属于开发者。最好的方法是与他们见面,然后交换 PGP 指纹。
106) 密钥也可以被签名。如果你查看 Roger 或 Nick 的密钥,会有其他人已经证实“这确实是 Roger/Nick”。
107) 如果你信任那个第三方,则对 arma/nick 你也就有了某种程度的信任。
108) </p>
109) 
110) <p>所以,你能放心地忽略那条警告,或者赋予密钥以某种程度的信任。</p>
111) 
112) <p>这里是一个 <em>BAD</em> 签名的例子,仅供参考。它意味着签名和文件内容不匹配:</p>
113) 
114) <pre>
115) gpg --verify tor-0.1.0.17.tar.gz.asc
116) gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5
117) gpg: BAD signature from "Roger Dingledine &lt;arma@mit.edu&gt;"
118) </pre>
119) 
120) <p>如果你得到了和上面类似的消息,你就不能再信任文件的内容了。</p>
121) 
Pei Hanru Updated zh-cn translation.

Pei Hanru authored 15 years ago

122) <p>如果你在 Debian 上运行 Tor,请阅读<a href="<page docs/debian>#packages">将这些密钥导入