これ日記なん？

_ apache配布物を gpg で確認する

gpgで確認する方法：

$ wget http://www.apache.org/dist/httpd/KEYS
$ gpg --import KEYS
$ gpg --verify  apache_2.2.14-win32-x86-openssl-0.9.8k.msi.asc
gpg: Signature made 2009年09月29日 13時02分36秒 JST using RSA key ID 7F7214A7
gpg: Good signature from "William A. Rowe, Jr. <wrowe@rowe-clan.net>"
gpg:                 aka "William A. Rowe, Jr. <wrowe@apache.org>"
gpg:                 aka "William A. Rowe, Jr. <william.rowe@springsource.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B1B9 6F45 DFBD CCF9 7401  9235 193F 180A B55D 9977
     Subkey fingerprint: 4962 0827 E32B C882 DC6B  EF54 A348 B984 7F72 14A7

ちなみに改ざんすると：

$ echo "1" >> apache_2.2.14-win32-x86-openssl-0.9.8k.msi
$ gpg --verify apache_2.2.14-win32-x86-openssl-0.9.8k.msi.asc
gpg: Signature made 2009年09月29日 13時02分36秒 JST using RSA key ID 7F7214A7
gpg: BAD signature from "William A. Rowe, Jr. <wrowe@rowe-clan.net>"

これでわかるわけですねー。なるほど。