Firefox-3.1のリリースが近づいているのでLinux版Firefoxのテーマの変更点を見るためにbeta2のtarボールをダウンロードしてOpenPGPで署名を確認してみた。

$ []wget 'ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/3.1b2/source/firefox-3.1b2-source.tar.bz2'[]

$ []wget 'ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/3.1b2/source/firefox-3.1b2-source.tar.bz2.asc'[]

$ []gpg2 --verify firefox-3.1b2-source.tar.bz2.asc[]

[]gpg: 2008年12月03日 22時23分57秒 JSTにDSA鍵ID 17785FE8で施された署名[]

[]gpg: 署名を検査できません: No public key[]

$ []gpg2 --recv-keys --keyserver hkp://subkeys.pgp.net 17785FE8[]  []公開鍵を入手[]

[]gpg: 鍵17785FE8をhkpからサーバーsubkeys.pgp.netに要求[]

[]gpg: 鍵812347DD: 公開鍵“Mozilla Software Releases <releases@mozilla.org>”を読み込みました[]

[]gpg: 絶対的に信用する鍵が見つかりません[]

[]gpg:     処理数の合計: 1[]

[]gpg:           読込み: 1[]

$ []gpg2 --verify firefox-3.1b2-source.tar.bz2.asc[]  []手に入れた公開鍵で検証[]

[]gpg: 2008年12月03日 22時23分57秒 JSTにDSA鍵ID 17785FE8で施された署名[]

[]gpg: “Mozilla Software Releases <releases@mozilla.org>”からの[][] 不正な [][]署名[]

$ []sha1sum firefox-3.1b2-source.tar.bz2[]

[]54147140a460a53385877f43c8f571d14e4f6d97[]

$ []wget 'ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/3.1b2/SHA1SUMS'[]

$ []fgrep 54147140a460a53385877f43c8f571d14e4f6d97 SHA1SUMS[]

[]54147140a460a53385877f43c8f571d14e4f6d97  ./source/firefox-3.1b2-source.tar.bz2[]  []sha1は合っている[]

[]バイナリtarボールの方で試してみる[]

$ []wget 'ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/3.1b2/linux-i686/en-US/firefox-3.1b2.tar.bz2'[]

$ []wget 'ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/3.1b2/linux-i686/en-US/firefox-3.1b2.tar.bz2.asc'[]

$ []gpg2 --verify firefox-3.1b2.tar.bz2.asc[]

[]gpg: 2008年12月03日 22時21分59秒 JSTにDSA鍵ID 17785FE8で施された署名[]

[]gpg: ”Mozilla Software Releases <releases@mozilla.org>”からの正しい署名[]

[]gpg: 警告: この鍵は信用できる署名で証明されていません![]

[]gpg:       この署名が所有者のものかどうかの検証手段がありません。[]

[]主鍵の指紋: 8D6F 1BA4 A340 4DDB 3F2F  D080 7447 4499 8123 47DD[]

[]副鍵の指紋: 3338 E6BA FF10 3B3D A6A9  E424 B57B 5484 1778 5FE8[]