Làm thế nào để xác minh một tập tin bằng cách sử dụng một tập tin chữ ký asc?

Ví dụ: dự án này cung cấp một *.asctệp có chữ ký PGP để xác minh nội dung tải xuống (trái ngược với tổng kiểm tra, bạn có thể thấy cột trống): https://ossec.github.io/doads.html

Làm thế nào tôi có thể sử dụng tập tin này? Tôi đã thử gpg --verifyvà các biến thể khác, nhưng có vẻ như nó khớp với tên của tệp, tuy nhiên tên tệp khi được tải xuống không hoàn toàn giống nhau ... không chắc nó hoạt động như thế nào.

• Tải xuống tệp chính:

wget https://ossec.github.io/files/OSSEC-ARCHIVE-KEY.asc

• Kiểm tra tệp chính để xác nhận nó có EE1B0E6B2D8387B7là keyid của nó.

gpg --keyid-format long --list-options show-keyring OSSEC-ARCHIVE-KEY.asc

• Nếu đúng, sau đó nhập khóa:

gpg --import OSSEC-ARCHIVE-KEY.asc

• Tải xuống gói phần mềm

wget https://github.com/ossec/ossec-hids/archive/2.9.3.tar.gz

• Tải tập tin chữ ký

https://github.com/ossec/ossec-hids/releases/download/2.9.3/ossec-hids-2.9.3.tar.gz.asc

• Xác minh điều đó

gpg --verify ossec-hids-2.9.3.tar.gz.asc 2.9.3.tar.gz

Đầu ra

gpg: Signature made Sat Dec 23 16:13:01 2017 UTC
gpg:                using RSA key EE1B0E6B2D8387B7
gpg: Good signature from "Scott R. Shinn <scott@atomicorp.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B50F B194 7A0A E311 45D0  5FAD EE1B 0E6B 2D83 87B7