为什么.zip压缩文件后面要加一个.md5或者.asc有什么作用?

这个是个公钥文件，你肯定应该还有个主文件，就是去掉.md5或.asc的文件，你的文件一般应该想下面这样：

.asc或者.md5 就是相对主文件的一个签名文件

可以是用来验证主文件的完整性的

具体你可以了解下 linux gpg2 命令

数字签名是一个确保某个包由其开发人员生成并且未被篡改的过程。 下面腊慎我们解释为什么它很重要，以及如何验证您下载的 Tor 程序是我们创锋局芦建的，并且未被某些攻击者修改过的程序。

我们下载页面上的每个文件都附带一个与包名称相同的文件和扩展名“.asc”。这些.asc文件就是 OpenGPG 签名。 它们允许你验证你下载的文件正是我们希望你获取的文件。

例如： torbrowser-install-win64-9.0_en-US.exe 是与 torbrowser-install-win64-9.0_en-US.exe.asc一起的。

我们现在展示如何在不同的 *** 作系统上验证下载文件的数字签名。 请注意数字签名是标注该包被签名的时间。 因此，每个新文件上传时，都会生成具有不同日期的新签名。 只要您验证了签名，就不必担心报告的日期可能有所不同。

正在安装 GnuPG

首先你需要安装GnuPG才能验证签名。

对于 Windows 的用户：

如果您使用 Windows， 下载 Gpg4win并运行其安装包。

为了验证签名，您需要在 Windows 命令行（“cmd.exe"）中输入一些命令。

对于 macOS 的用户：

如果您正在使用 macOS，您可以安装 GPGTools。

为了验证签名，您需要在（“应用程序”下的）终端中输入一些命令

对于 GNU/Linux 的用户：

如果你使用 GNU/Linux，那么可能在你的系统中已经安装了 GnuPG，因为大多数 Linux 发行版都预装了它。

为了验证签名，您需要在终端窗口中输入一些命令。如何进行此 *** 作将取决于您的发行版。

正在提取 Tor 开发者密钥

Tor 浏览器团队为 Tor 浏览器发行版签名。 导入Tor 浏览器开发者登录密钥(0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290)：

gpg --auto-key-locate nodefault,wkd --locate-keys torbrowser@torproject.org

这会向您展示像这样的内容：

gpg: key 4E2C6E8793298290: public key "Tor Browser Developers (signing key) <torbrowser@torproject.org>" imported

gpg: Total number processed: 1

gpg:               imported: 1

pub rsa4096 2014-12-15 [C] [expires: 2020-08-24]

EF6E286DDA85EA2A4BA7DE684E2C6E8793298290

uid           [ unknown] Tor Browser Developers (signing key) <torbrowser@torproject.org>

sub rsa4096 2018-05-26 [S] [expires: 2020-09-12]

在导入密钥完成后，您可以将其另存为一个文件（通过指银带纹来鉴定它）：

gpg --output ./tor.keyring --export 0xEF6E286DDA85EA2A4BA7DE684E2C6E8793298290

验证签名

为了验证你下载的包的签名，除了安装文件本身，你还需要下载相应的“.asc”签名文件，并用一个命令让 GnuPG 验证你下载的文件。

下面的例子假设你已经下载了这样的两个文件到你的"下载"文件夹。

对于 Windows 的用户：

gpgv --keyring .\tor.keyring Downloads\torbrowser-install-win64-9.0_en-US.exe.asc Downloads\torbrowser-install-win64-9.0_en-US.exe

对于 macOS 的用户：

gpgv --keyring ./tor.keyring ~/Downloads/TorBrowser-9.0-osx64_en-US.dmg{.asc,}

对于 GNU/Linux 的用户（如果您有32位的安装包，请将64转为32）

gpgv --keyring ./tor.keyring ~/Downloads/tor-browser-linux64-9.0_en-US.tar.xz{.asc,}

命令的结果应该与以下输出相似的内容：

gpgv: Signature made 07/08/19 04:03:49 Pacific Daylight Time

gpgv: using RSA key EB774491D9FF06E2

gpgv: Good signature from "Tor Browser Developers (signing key) <torbrowser@torproject.org>"

官方解释：网页链接

 若您不能自主解决问题，可致电运营商官方，获取免费专业处理意见及帮助。

---