من Qubes OS ISO را بارگیری کردم و سعی می کنم با استفاده از این راهنما مشروعیت آن را تأیید کنم. GPG به طرز عجیبی رفتار می کرد ، بنابراین من یک کاربر جداگانه با یک کلید جداگانه برای تولید مجدد این مسئله ایجاد کردم.

وقتی سعی می کنم کلید را در سیستم دبیان تأیید کنم ، امضای روی کلید امضای انتشار وجود ندارد:

 $ gpg --fetch-keys https://keys.qubes-os.org/keys/qubes-master-signing-key.asc
gpg: دایرکتوری '/home/test/.gnupg' ایجاد شد
gpg: keybox '/home/test/.gnupg/pubring.kbx' ایجاد شد
gpg: درخواست کلید از "https://keys.qubes-os.org/keys/qubes-master-signing-key.asc"
gpg: /home/test/.gnupg/trustdb.gpg: trustdb ایجاد شد
gpg: کلید DDFA1A3E36879494: کلید عمومی "کلید امضای استاد Qubes" وارد شده
gpg: تعداد کل پردازش شده: 1
gpg: وارد شده: 1
$ gpg --fetch-keys https://keys.qubes-os.org/keys/qubes-release-4-signing-key.asc
gpg: درخواست کلید از "https://keys.qubes-os.org/keys/qubes-release-4-signing-key.asc"
gpg: key 1848792F9E2795E9: کلید عمومی "Qubes OS Release 4 Key Signing" وارد شده
gpg: تعداد کل پردازش شده: 1
gpg: وارد شده: 1
$ gpg - list-sigs "Qubes OS"
pub rsa4096 2017-03-06 [SC]
      5817A43B283DE5A9181A522E1848792F9E2795E9
uid [ unknown] کلید امضا نسخه 4 سیستم عامل Qubes
sig 3 1848792F9E2795E9 2017-03-06 Qubes OS Release 4 Key Signing
$

انتظار داشتم خط دیگری با امضا از کلید اصلی مانند

 sig DDFA1A3E36879494 2017-03-08 کلید امضاء استاد Qubes

با تعجب ، تصمیم گرفتم سیستم دیگری را بررسی کنم. این یکی Arch Linux است. من به آن کمتر از سیستم دبیان اعتماد دارم. با کمال تعجب ، امضای را نشان می دهد – خروجی دقیقاً مانند بالا است ، اما با خط امضاء اضافه شده.

نسخه GPG در 2.2.17 در هر دو دستگاه است. [19659002] چه چیزی می تواند باعث این اختلاف شود؟