验证archlinux签名

Question

我如何能够验证我的archlinux iso？

gpg --verify archlinux-2020.06.01-x86_64.iso.sig archlinux-2020.06.01-x86_64.iso
gpg: Signature made Mo 01 Jun 2020 11:53:53 CEST
gpg:                using RSA key 4AA4767BBC9C4B1D18AE28B77F2D434B9741E8AC
gpg: Can't check signature: No public key

我错过了公钥，但我到底能在哪里下载它。还有一个sha1，但是我应该如何处理它呢？

Answer 1

我在Ubuntu 20.04，我也有同样的问题，我所做的就是我得到了公钥(如果我做错了什么，请有人纠正我)：

curl https://git.archlinux.org/archlinux-keyring.git/plain/packager/pierre.asc > archpub.key

然后，我将这个公钥导入我的gpg密钥环(我认为)：

gpg --import archpub.key

然后，我能够验证签名(在同一个目录中使用.iso和.sig文件)：

gpg --verify archlinux-2021.05.01-x86_64.iso.sig 

下面是这个命令打印出来的内容：

gpg: assuming signed data in 'archlinux-2021.05.01-x86_64.iso'
gpg: Signature made Sat 01 May 2021 01:24:14 AM EDT
gpg:                using RSA key 4AA4767BBC9C4B1D18AE28B77F2D434B9741E8AC
gpg: Good signature from "Pierre Schmitz <pierre@archlinux.de>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 4AA4 767B BC9C 4B1D 18AE  28B7 7F2D 434B 9741 E8AC

希望这能帮到别人！我试图使用--keyserver=hkp://pool.sks-keyservers.net导入公钥，但由于某种原因，它对我不起作用。