不可能的gpg签名验证

Question

wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/cryptsetup-1.7.3.tar.xz
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/cryptsetup-1.7.3.tar.sign
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/sha256sums.asc

shasum已验证:正常

gpg --verify cryptsetup-1.7.3.tar.sign cryptsetup-1.7.3.tar.xz

输出不好：

gpg: Signature made Sun 30 Oct 2016 01:56:01 PM UTC using RSA key ID D93E98FC
gpg: BAD signature from "Milan Broz <gmazyland@gmail.com>"

然后

wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/v1.7.3-ReleaseNotes
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/v1.7.3-ReleaseNotes.sign

gpg --verify v1.7.3-ReleaseNotes.sign v1.7.3-ReleaseNotes

这很好(尽管有警告)：

gpg: Signature made Sun 30 Oct 2016 01:56:09 PM UTC using RSA key ID D93E98FC
gpg: Good signature from "Milan Broz <gmazyland@gmail.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2A29 1824 3FDE 4664 8D06  86F9 D9B0 577B D93E 98FC

我在另一个网站上做了另一个测试：

wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.0.30.tar.bz2
wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.0.30.tar.bz2.sig

而且一切都很好。

然后我去了作者的博客(米兰·布洛兹的博客)，但下载链接指向同一个网站。

我尝试了之前的一些包，也遇到了同样的问题：

cryptsetup-1.7.1.tar.sign与cryptsetup-1.7.1.tar.gz & cryptsetup-1.7.1.tar.xz

cryptsetup-1.7.2.tar.sign与cryptsetup-1.7.2.tar.gz & cryptsetup-1.7.2.tar.xz

如果我遗漏了什么，请告诉我。否则，有没有地方可以让我得到这个软件的正确签名版本？

谢谢各位。

Answer 1

有没有地方可以让我得到这个软件的正确签名版本？

从官网尝试：https://gitlab.com/cryptsetup/cryptsetup (现在-- 2017年11月，9个月后，1.7.5或2.0-rc1)

这很好(尽管有警告)：

警告是意料之中的。参见"Check PGP Signature and Install Veracrypt 1.17"：

"WARNING: This key is not certified with a trusted signature! There is no indication that the signature belongs to the owner.“指的是Veracrypt公钥不是由您或您签名的任何人签名的，因此您和Veracrypt开发人员之间没有直接的信任线。

这是如预期的。