new verifying-signatures.wml translation
Pei Hanru commited on 2009-03-14 11:13:54
Zeige 1 geänderte Dateien mit 128 Einfügungen und 0 Löschungen.
- zh-cn/verifying-signatures.wml 000000000..890aeff33
| ... | ... |
@@ -0,0 +1,128 @@ |
| 1 |
+## translation metadata |
|
| 2 |
+# Based-On-Revision: 18807 |
|
| 3 |
+# Translation-Priority: 2-medium |
|
| 4 |
+# Last-Translator: peihanru AT gmail.com |
|
| 5 |
+ |
|
| 6 |
+#include "head.wmi" TITLE="验证签名" CHARSET="UTF-8" |
|
| 7 |
+ |
|
| 8 |
+<div class="main-column"> |
|
| 9 |
+ |
|
| 10 |
+<h2>如何验证软件包的签名</h2> |
|
| 11 |
+<hr /> |
|
| 12 |
+ |
|
| 13 |
+<p><a href="<page download>">我们的下载页面</a>中每一个文件都附带了一个与软件包有着相同名字的文件, |
|
| 14 |
+其扩展名是“.asc”。例如,最新的 Windows 安装套件:<package-win32-bundle-stable-sig>。</p> |
|
| 15 |
+ |
|
| 16 |
+<p>这些 .asc 文件是 PGP 签名。通过它们你可以验证你所下载的文件确实由我们所提供。</p> |
|
| 17 |
+ |
|
| 18 |
+<p>当然,你需要首先知道我们的 PGP 密钥:如果不知道 PGP 密钥,你就无法证实签名确实来自我们。 |
|
| 19 |
+我们使用的签名密钥是:</p> |
|
| 20 |
+<ul> |
|
| 21 |
+<li>Roger's (0x28988BF5) 通常对源代码文件进行签名。</li> |
|
| 22 |
+<li>Nick's (0x165733EA, 或子密钥 0x8D29319A)</li> |
|
| 23 |
+<li>Andrew's (0x31B0974B)</li> |
|
| 24 |
+<li>Peter's (0x94C09C7F, 或子密钥 0xAFA44BDD)</li> |
|
| 25 |
+<li>Matt's (0x5FA14861)</li> |
|
| 26 |
+<li>Jacob's (0x9D0FACE4)</li> |
|
| 27 |
+</ul> |
|
| 28 |
+ |
|
| 29 |
+<h3>第一步:导入密钥</h3> |
|
| 30 |
+<hr /> |
|
| 31 |
+<p>你能直接通过 GnuPG 导入密钥</p> |
|
| 32 |
+ |
|
| 33 |
+<pre>gpg --keyserver subkeys.pgp.net --recv-keys 0x28988BF5</pre> |
|
| 34 |
+ |
|
| 35 |
+<p>或搜索密钥</p> |
|
| 36 |
+ |
|
| 37 |
+<pre>gpg --keyserver subkeys.pgp.net --search-keys 0x28988BF5</pre> |
|
| 38 |
+ |
|
| 39 |
+<p>当你选择其中一个时,它将被加入你的密钥环。</p> |
|
| 40 |
+ |
|
| 41 |
+<h3>第二步:验证指纹</h3> |
|
| 42 |
+<hr /> |
|
| 43 |
+<p>使用下列命令验证 PGP 指纹</p> |
|
| 44 |
+<pre>gpg --fingerprint (在这里输入密钥 ID)</pre> |
|
| 45 |
+<p>密钥的指纹应该是</p> |
|
| 46 |
+ |
|
| 47 |
+<pre> |
|
| 48 |
+pub 1024D/28988BF5 2000-02-27 |
|
| 49 |
+ Key fingerprint = B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5 |
|
| 50 |
+uid Roger Dingledine <arma@mit.edu> |
|
| 51 |
+ |
|
| 52 |
+pub 3072R/165733EA 2004-07-03 |
|
| 53 |
+ Key fingerprint = B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EA |
|
| 54 |
+uid Nick Mathewson <nickm@alum.mit.edu> |
|
| 55 |
+uid Nick Mathewson <nickm@wangafu.net> |
|
| 56 |
+uid Nick Mathewson <nickm@freehaven.net> |
|
| 57 |
+ |
|
| 58 |
+pub 1024D/31B0974B 2003-07-17 |
|
| 59 |
+ Key fingerprint = 0295 9AA7 190A B9E9 027E 0736 3B9D 093F 31B0 974B |
|
| 60 |
+uid Andrew Lewman (phobos) <phobos@rootme.org> |
|
| 61 |
+uid Andrew Lewman <andrew@lewman.com> |
|
| 62 |
+uid Andrew Lewman <andrew@torproject.org> |
|
| 63 |
+sub 4096g/B77F95F7 2003-07-17 |
|
| 64 |
+ |
|
| 65 |
+pub 1024D/94C09C7F 1999-11-10 |
|
| 66 |
+ Key fingerprint = 5B00 C96D 5D54 AEE1 206B AF84 DE7A AF6E 94C0 9C7F |
|
| 67 |
+uid Peter Palfrader |
|
| 68 |
+uid Peter Palfrader <peter@palfrader.org> |
|
| 69 |
+uid Peter Palfrader <weasel@debian.org> |
|
| 70 |
+ |
|
| 71 |
+pub 1024D/5FA14861 2005-08-17 |
|
| 72 |
+ Key fingerprint = 9467 294A 9985 3C9C 65CB 141D AF7E 0E43 5FA1 4861 |
|
| 73 |
+uid Matt Edman <edmanm@rpi.edu> |
|
| 74 |
+uid Matt Edman <Matt_Edman@baylor.edu> |
|
| 75 |
+uid Matt Edman <edmanm2@cs.rpi.edu> |
|
| 76 |
+sub 4096g/EA654E59 2005-08-17 |
|
| 77 |
+ |
|
| 78 |
+pub 1024D/9D0FACE4 2008-03-11 [expires: 2010-03-11] |
|
| 79 |
+ Key fingerprint = 12E4 04FF D3C9 31F9 3405 2D06 B884 1A91 9D0F ACE4 |
|
| 80 |
+uid Jacob Appelbaum <jacob@appelbaum.net> |
|
| 81 |
+sub 4096g/D5E87583 2008-03-11 [expires: 2010-03-11] |
|
| 82 |
+</pre> |
|
| 83 |
+ |
|
| 84 |
+<p>(如果你想要进一步确认密钥的真实性,你应该在多个不同的地方进行检查; |
|
| 85 |
+更好的方法是通过对密钥进行签名建立一条到这些密钥的可信路径。)</p> |
|
| 86 |
+ |
|
| 87 |
+<h3>第三步:验证下载的软件包</h3> |
|
| 88 |
+<hr /> |
|
| 89 |
+<p>如果你使用的是 GnuPG,将下载的软件包连同 .asc 文件置于相同的目录中, |
|
| 90 |
+然后输入“gpg --verify (whatever).asc (whatever)”。 |
|
| 91 |
+使用下面的命令,你将得到“Good 签名”或“BAD 签名”这样的结果:</p> |
|
| 92 |
+ |
|
| 93 |
+<pre> |
|
| 94 |
+gpg --verify tor-0.1.0.17.tar.gz.asc tor-0.1.0.17.tar.gz |
|
| 95 |
+gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5 |
|
| 96 |
+gpg: Good signature from "Roger Dingledine <arma@mit.edu>" |
|
| 97 |
+gpg: aka "Roger Dingledine <arma@mit.edu>" |
|
| 98 |
+gpg: WARNING: This key is not certified with a trusted signature! |
|
| 99 |
+gpg: There is no indication that the signature belongs to the owner. |
|
| 100 |
+Primary key fingerprint: B117 2656 DFF9 83C3 042B C699 EB5A 896A 2898 8BF5 |
|
| 101 |
+</pre> |
|
| 102 |
+ |
|
| 103 |
+<p> |
|
| 104 |
+请注意这里有一条警告,因为你并未将相应密钥设为可信的。这意味着程序仅仅验证了签名由那一密钥生成。 |
|
| 105 |
+用户需要自行判断密钥确实属于开发者。最好的方法是与他们见面,然后交换 PGP 指纹。 |
|
| 106 |
+密钥也可以被签名。如果你查看 Roger 或 Nick 的密钥,会有其他人已经证实“这确实是 Roger/Nick”。 |
|
| 107 |
+如果你信任那个第三方,则对 arma/nick 你也就有了某种程度的信任。 |
|
| 108 |
+</p> |
|
| 109 |
+ |
|
| 110 |
+<p>所以,你能放心地忽略那条警告,或者赋予密钥以某种程度的信任。</p> |
|
| 111 |
+ |
|
| 112 |
+<p>这里是一个 <em>BAD</em> 签名的例子,仅供参考。它意味着签名和文件内容不匹配:</p> |
|
| 113 |
+ |
|
| 114 |
+<pre> |
|
| 115 |
+gpg --verify tor-0.1.0.17.tar.gz.asc |
|
| 116 |
+gpg: Signature made Wed Feb 23 01:33:29 2005 EST using DSA key ID 28988BF5 |
|
| 117 |
+gpg: BAD signature from "Roger Dingledine <arma@mit.edu>" |
|
| 118 |
+</pre> |
|
| 119 |
+ |
|
| 120 |
+<p>如果你得到了和上面类似的消息,你就不能再信任文件的内容了。</p> |
|
| 121 |
+ |
|
| 122 |
+<p>如果你在 Debian 上运行 Tor,请阅读<a |
|
| 123 |
+href="https://wiki.torproject.org/noreply/TheOnionRouter/TorOnDebian">将这些密钥导入 |
|
| 124 |
+apt</a> 的说明。</p> |
|
| 125 |
+ |
|
| 126 |
+</div><!-- #main --> |
|
| 127 |
+ |
|
| 128 |
+#include <foot.wmi> |
|
| 0 | 129 |