Xác minh tệp đã ký bằng GPG bằng cách chuyển chữ ký được lưu trữ trực tuyến thay vì được lưu trữ cục bộ (tức là trong quá trình khóa)?

Có thể vượt qua URL của chữ ký GnuPG khi thực hiện truy vấn xác minh đối với tệp đã ký không?

Ví dụ: thay vì:

gpg --verify file.txt

Có một biến thể của một cái gì đó như:

gpg --import example.com/key.sig --verify file.txt

Rõ ràng, bạn có thể nhập từ một máy chủ khóa và nối thêm dòng &&theo sau là xác minh nhưng nó không hoàn toàn phục vụ mục đích của tôi vì vậy tôi tự hỏi liệu có ai có thể đề xuất lựa chọn thay thế không.

Tôi không hoàn toàn chắc chắn những gì bạn cố gắng để đạt được. Các chữ ký của một tập tin sẽ không được nhập! Tôi chia câu trả lời thành hai phần, tùy thuộc vào những gì bạn thực sự muốn đạt được. Tôi đã thay đổi URI ví dụ để phản ánh việc sử dụng thực tế, nhưng tên tệp hoàn toàn không quan trọng đối với GnuPG.

Không nhập khóa

Khi GnuPG xác minh một tệp đã ký, nó cũng xác minh tính hợp lệ của khóa. Đây là một hoạt động đòi hỏi chìa khóa phải nằm trong khóa.

Nếu bạn quan tâm đến việc không có khóa được xác minh trong vòng khóa của mình, hãy cân nhắc sử $GNUPGHOMEdụng cái khác , sử dụng cái gì đó như

export GNUPGHOME=/tmp/gpg-verify
curl http://example.com/key.asc | gpg --import
gpg --verify file.txt
rm -r /tmp/gpg-verify

Xác minh đối với chữ ký tách rời

Nếu bạn muốn tải chữ ký (tách ra) từ một URI, hãy sử dụng cuộn tròn và đặt chữ ký vào gpg. Từ man gpg:

--verify

Giả sử rằng đối số đầu tiên là một tệp đã ký hoặc chữ ký tách rời và xác minh nó mà không tạo ra bất kỳ đầu ra nào. Không có đối số, gói chữ ký được đọc từ STDIN.

Dòng lệnh được sử dụng sẽ giống như

curl http://www.example.com/signature.asc | gpg --verify file.txt