不可能GPG签名验证

Question

wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/cryptsetup-1.7.3.tar.xz 
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/cryptsetup-1.7.3.tar.sign 
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/sha256sums.asc 

shasum证实：OK

gpg --verify cryptsetup-1.7.3.tar.sign cryptsetup-1.7.3.tar.xz 

输出是坏：

gpg: Signature made Sun 30 Oct 2016 01:56:01 PM UTC using RSA key ID D93E98FC 
gpg: BAD signature from "Milan Broz <gmazyland@gmail.com>" 

然后

wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/v1.7.3-ReleaseNotes 
wget https://www.kernel.org/pub/linux/utils/cryptsetup/v1.7/v1.7.3-ReleaseNotes.sign 

gpg --verify v1.7.3-ReleaseNotes.sign v1.7.3-ReleaseNotes 

这是件好事（虽然警报）：

gpg: Signature made Sun 30 Oct 2016 01:56:09 PM UTC using RSA key ID D93E98FC 
gpg: Good signature from "Milan Broz <gmazyland@gmail.com>" 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg:   There is no indication that the signature belongs to the owner. 
Primary key fingerprint: 2A29 1824 3FDE 4664 8D06 86F9 D9B0 577B D93E 98FC 

我重新测试上的另一个网站：

wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.0.30.tar.bz2 
wget https://gnupg.org/ftp/gcrypt/gnupg/gnupg-2.0.30.tar.bz2.sig 

，一切都一样好。

然后我去作者的博客（米兰布罗兹的博客），但下载链接导致同一个网站。

我尝试了一些以前的包和有同样的问题：

cryptsetup-1.7.1.tar.sign用cryptsetup-1.7.1.tar.gz & cryptsetup-1.7.1.tar.xz

cryptsetup-1.7.2.tar.sign用cryptsetup-1.7.2.tar.gz & cryptsetup-1.7.2.tar.xz

如果我在这里错过的东西，PLZ告诉我什么。 否则，有没有一个地方可以让我有这个软件的正确签名版本？

thanx人。

Answer 1

是否有一个地方，我可以有一个正确签署的版本的这个软件？从官方网站

尝试：https://gitlab.com/cryptsetup/cryptsetup（现在 - 2017年11月，9个月后，在1.7.5或2.0-RC1）

这是件好事（虽然警报）：

预计会发出警告。请参阅“Check PGP Signature and Install Veracrypt 1.17‘：

的’WARNING: This key is not certified with a trusted signature! There is no indication that the signature belongs to the owner.”指Veracrypt公钥是不是由您或任何其键已签署签字，所以你和Veracrypt开发商之间的信任没有直接的线。
这和预期的一样。