来自"Debian CD签名密钥<debian-cd@lists.debian.org>“的签名错误

Question

下载debian8 lxde iso文件和签名文件。

ls
debian-8.8.0-amd64-lxde-CD-1.iso    SHA1SUMS  SHA1SUMS.sign  

要检查它，sha1命令。

sha1sum   debian-8.8.0-amd64-lxde-CD-1.iso
28bc1fefa093de96879be36a14b00c4991ce9cec  debian-8.8.0-amd64-lxde-CD-1.iso
grep  'lxde'  SHA1SUMS
28bc1fefa093de96879be36a14b00c4991ce9cec  debian-8.8.0-amd64-lxde-CD-1.iso

这两个sha1sum字符串是相同的。

gpg --keyserver keyring.debian.org --recv 6294BE9B
gpg --verify  SHA1SUMS.sign  debian-8.8.0-amd64-lxde-CD-1.iso

出现错误。

gpg: Signature made Mon 08 May 2017 02:28:21 AM CST using RSA key ID 6294BE9B
gpg: BAD signature from "Debian CD signing key <debian-cd@lists.debian.org>"

1.为什么"Debian CD签名密钥“签名不好？

debian公钥有问题吗？

2.使用sha1sum debian-8.8.0-amd64-lxde-CD-1.iso和grep 'lxde' SHA1SUMS获取sha1sum，然后目测比较两个输出字符串，这不是一种聪明的方法。

Answer 1

在验证debian-8.8DVD时，我也遇到了同样的问题。

"BAD signature“的消息来自文件SHA*SUMS的最后一行，这是一个空行(在我的例子中)。只需删除我的SHA*SUMS中的空行，一切都进行得很好；尝试了所有的SHA1，SHA256，SHA512。这是我们自己的错误，当我们从浏览器复制文件的内容时，通过"select all“或"ctrl A"，我们包括了空行。