## translation metadata
# Based-On-Revision: 20019
# Translation-Priority: 2-medium
# Last-Translator: peihanru AT gmail.com
#include "head.wmi" TITLE="验证签名" CHARSET="UTF-8"
<div class="main-column">
<h2>如何验证软件包的签名</h2>
<hr />
<p><a href="<page download>">我们的下载页面</a>中每一个文件都附带了一个与软件包有着相同名字的文件,
其扩展名是“.asc”。例如,最新的 Windows 安装套件:<package-win32-bundle-stable-sig>。</p>
<p>这些 .asc 文件是 PGP 签名。通过它们你可以验证你所下载的文件确实由我们所提供。</p>
<p>当然,你需要首先知道我们的 PGP 密钥:如果不知道 PGP 密钥,你就无法证实签名确实来自我们。
我们使用的签名密钥是:</p>
<ul>
<li>Roger's (0x28988BF5) 通常对源代码文件进行签名。</li>
<li>Nick's (0x165733EA, 或子密钥 0x8D29319A)</li>
<li>Andrew's (0x31B0974B)</li>
<li>Peter's (0x94C09C7F, 或子密钥 0xAFA44BDD)</li>
<li>Matt's (0x5FA14861)</li>
<li>Jacob's (0x9D0FACE4)</li>
</ul>
<h3>第一步:导入密钥</h3>
<hr />
<p>你能直接通过 GnuPG 导入密钥</p>
<pre>gpg --keyserver subkeys.pgp.net --recv-keys 0x28988BF5</pre>
<p>或搜索密钥</p>
<pre>gpg --keyserver subkeys.pgp.net --search-keys 0x28988BF5</pre>
<p>当你选择其中一个时,它将被加入你的密钥环(keyring)。</p>
<h3>第二步:验证指纹</h3>
<hr />
<p>使用下列命令验证 PGP 指纹</p>
<pre>gpg --fingerprint (在这里输入密钥 ID)</pre>
<p>密钥的指纹应该是</p>
<pre>
pub 1024D/28988BF5 2000-02-27
Key fingerprint = B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5
uid Roger Dingledine <arma@mit.edu>