Я также не мог работать gpg2 --locate-keys.
Загрузите ядро:
$ curl -O https://mirrors.edge.kernel.org/pub/linux/kernel/v4.x/linux-4.15.10.tar.xz
$ curl -O https://mirrors.edge.kernel.org/pub/linux/kernel/v4.x/linux-4.15.10.tar.sign
Разархивировать ядро:
$ unxz linux-4.15.10.tar.xz
Попробуйте проверить ядро:
$ gpg2 --verify linux-4.15.10.tar.sign
gpg: assuming signed data in 'linux-4.15.10.tar'
gpg: Signature made Thu 15 Mar 2018 12:57:15 PM MSK
gpg: using RSA key 647F28654894E3BD457199BE38DBBDC86092693E
gpg: Can't check signature: No public key
Проверка завершится неудачно, но вы получите отпечаток ключа RSA: 647F28654894E3BD457199BE38DBBDC86092693E. Теперь получите соответствующий открытый ключ с gpg2 --recv-keys:
$ gpg2 --recv-keys 647F28654894E3BD457199BE38DBBDC86092693E
gpg: key 38DBBDC86092693E: public key "Greg Kroah-Hartman <gregkh@linuxfoundation.org>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
Теперь у вас есть открытый ключ для упомянутого выше отпечатка пальца. Если вы снова проверите ядро, вы получите предупреждение:
$ gpg2 --verify linux-4.15.10.tar.sign
gpg: assuming signed data in 'linux-4.15.10.tar'
gpg: Signature made Thu 15 Mar 2018 12:57:15 PM MSK
gpg: using RSA key 647F28654894E3BD457199BE38DBBDC86092693E
gpg: Good signature from "Greg Kroah-Hartman <gregkh@linuxfoundation.org>" [unknown]
gpg: aka "Greg Kroah-Hartman <gregkh@kernel.org>" [unknown]
gpg: aka "Greg Kroah-Hartman (Linux kernel stable release signing key) <greg@kroah.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 647F 2865 4894 E3BD 4571 99BE 38DB BDC8 6092 693E
Как и на официальной странице kernel.org, вы можете выбрать модель доверия TOFU и проверить ее с помощью ядра:
Проверка выполнена. Модель доверия TOFU сохраняется по умолчанию, поэтому позже вы можете использовать только gpg2 --verify linux-4.15.10.tar.sign для дальнейших проверок.