আমি যে জিপিজি 4win ফাইলটি ডাউনলোড করেছি তা যাচাই করার চেষ্টা করছি। আমার এমন একটি মেশিন অ্যাক্সেস আছে যার একটি যাচাইকৃত GnuPG ইনস্টলেশান রয়েছে। আমি দৌড়ে গেলাম
> gpg --recv EC70B1B8
> gpg -v --verify gpg4win-2.3.3.exe.sig gpg4win-2.3.3.exe
Version: GnuPG v1.4.12 (GNU/Linux)
gpg: armor header:
gpg: Signature made Thu 18 Aug 2016 05:20:50 AM EDT using DSA key ID EC70B1B8
gpg: using PGP trust model
gpg: Good signature from "Intevation File Distribution Key <distribution-key@intevation.de>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 61AC 3F5E E4BE 593C 13D6 8B1E 7CBD 620B EC70 B1B8
gpg: binary signature, digest algorithm SHA1
আমার উদ্বেগ হল প্রাথমিক কী আঙ্গুলের ছাপ তাদের ওয়েব সাইটে কোড সাইনিং শংসাপত্রের সাথে মেলে না:
কোড সাইনিং শংসাপত্র এপ্রিল থেকে সমস্ত Gpg4win EXE ইনস্টলার ফাইল 2016 নিম্নলিখিত কোড সাইনিং সার্টিফিকেট দিয়ে স্বাক্ষরিত হয়:
S/N: 1121A3D67EAB28AA86FD85728B57FA62630D Issuer: CN=GlobalSign CodeSigning CA - SHA256 - G2,O=GlobalSign nv-sa,C=BE Subject: 1.2.840.113549.1.9.1=#636F64657369676E696E6740696E7465766174696F6E2E6465,CN=Intevationজিএমবিএইচ, ও = ইন্টিভেশন জিএমবিএইচ, এল = ওসনব্রুক, এসটি = নিডারসচেন, সি = ডি sha1_fpr: DE: 16: D5: 97: 2F: 0B: 73: 95: F7: D9: 1E: DC: 1F: 21: 9b: 0F: FE: 89: FA: B3 md5_fpr: C0: 98: 08: 94: D4: E7: 97: 3E: 9D: F4: 18: E4: 5E: 0A: 2E: D7 না আগে: 2016-03-30 16:54:41 না পরে: 2019-03-31 16:54:41
আমি তুলনা করছি sha1_fpr প্রাথমিক কী আঙ্গুলের ছাপ। এটা কি সঠিক জিনিস না?