Как проверить импортированный ключ GPG

34

Я новичок в этой вещи PGP. Вот мои вопросы: Проверка
Когда я делаю это, мне выдается сообщение «Этот ключ не сертифицирован с доверенной подписью». Есть ли способ сделать его доверенным и, тем не менее, каков правильный способ сделать это?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Управляющий ключ
Я скачал и сохранил открытый ключ как isc.public.key и импортировал его с помощью следующей команды:

gpg –import isc.public.key

Я уверен, что на нем есть срок годности, так как мне сделать следующее:

  1. Узнайте, когда он истекает? На самом деле, говорит ли мне GPG, когда срок действия ключа, который я импортировал, уже истек, когда я выполняю команду "gpg --verify"?
  2. Обнови ключ. Нужно ли удалять ключ и повторно импортировать, когда это происходит?

Благодарность!

gpg 
user192702
источник
Что касается проверки, вам следует обратиться к руководству по GPG, особенно к термину «сеть доверия». Для второго вопроса man gpgбыло бы очень хорошее начало.
Марки
1
Как сказали жаворонки, хорошая безопасность - это трудно; и это небольшой переворот в ответ на искренний вопрос с разумной детализацией, не так ли? Если я ошибаюсь, я уверен, что получу порчу, и я не могу позволить себе потерять «статус» с моим общим статусом 118; -} Тем не менее, я сказал, что голосую за «сеть доверия». Поисковое предложение.
Синтия V

Ответы:

46

Когда я это делаю, мне выдается сообщение «Этот ключ не сертифицирован с доверенной подписью». Есть ли способ сделать его доверенным и, тем не менее, каков правильный способ сделать это?

«Надежная подпись» - это подпись ключа, которому вы доверяете, либо потому, что (а) вы лично убедились, что он принадлежит тому человеку, которому, как он утверждает, он принадлежит, либо (б) потому что он был подписан ключом, который Вы доверяете, возможно, через ряд промежуточных ключей.

Вы можете редактировать уровень доверия ключей, запустив "gpg --edit-key", а затем используя trustкоманду. В этом разделе руководства GPG обсуждается ключевое доверие, и его стоит прочитать: хорошая безопасность - это сложно.

Обратите внимание, что предупреждение «Этот ключ не сертифицирован с доверенной подписью» в основном означает «эта вещь могла быть подписана кем-либо». Я могу создать ключ, который претендует на «Internet Systems Consortium, Inc. (Signing key, 2013)», и подписать его, и GPG с радостью подтвердит, что да, то, что я подписал, было подписано моим ключом. Чтобы избежать этой проблемы, вы, вероятно, должны загрузить ключ ISC GPG с веб-сайта и либо окончательно доверять ему («я уверен, что этот объект может сертифицировать себя»), либо подписывать его своим окончательно доверенным закрытым ключом. Без надлежащего управления доверием ключей проверка подписи в основном является театральной.

Узнайте, когда он истекает?

Запуск gpg -k <keyid>покажет вам, когда истечет срок действия данного ключа. Например, я создал ключ, срок действия которого истекает завтра, и gpg -k <keyid>дает мне:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Вы можете видеть, что даты истечения срока действия на подразделах четко обозначены. Обратите внимание, что подключи, используемые для подписи и шифрования, могут иметь разные даты истечения срока действия из первичного ключа. Вы можете прочитать больше о подключах здесь .

На самом деле, говорит ли мне GPG, когда срок действия ключа, который я импортировал, уже истек, когда я выполняю команду "gpg --verify"?

Да, GPG сообщит вам об истекшем ключе. Обратите внимание, что это не обязательно представляет проблему: подпись была действительной, когда документ был подписан.

Обнови ключ. Нужно ли удалять ключ и повторно импортировать, когда это происходит?

Вы должны настроить свою среду GPG на использование сервера ключей и периодически запускать ее gpg --refresh-keys. Это обновит все ключи в вашем брелоке новой информацией от сервера ключей, которая может включать:

  • новые сроки годности
  • дополнительные подписи на ключе

Если человек или организация начинают использовать новый ключ, вы просто добавляете его в свою цепочку ключей - вам не нужно удалять существующий ключ.

larsks
источник
1
Что делать, если нет поля срока действия?
Аарон Франке
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.