如何使用GNU Privacy Guard验证MediaWiki下载的真实性

Question

我刚刚下载了最新版本的MediaWiki，想检查一下它的真实性。他们在他们的下载页面http://www.mediawiki.org/wiki/Download上提供了一个签名文件。在Linux上如何将其与gpg命令一起使用？

Answer 1

我在Ubuntu 12.04上使用的过程如下

(1)下载mediawiki代码

wget http://download.wikimedia.org/mediawiki/1.20/mediawiki-1.20.2.tar.gz

(2)下载签名文件

wget http://download.wikimedia.org/mediawiki/1.20/mediawiki-1.20.2.tar.gz.sig

(3)获取mediawiki签名者的公钥

单击GPG密钥链接，然后单击"Get keys as a text bundle"，或者直接转到：https://www.mediawiki.org/keys/keys.txt。

将文件另存为keys.txt

(4)导入公钥

gpg --import keys.txt

(5)验证文件

gpg --verify mediawiki-1.20.2.tar.gz.sig

这是成功的，但我确实收到了以下警告：

gpg: WARNING: This key is not certified with a trusted signature!<br />
gpg:          There is no indication that the signature belongs to the owner.

因为我从我认为可信的来源下载了密钥，所以我不担心这一点。必须有一种将密钥标记为受信任的方法。