Authentication

驗證 GPG 密鑰簽名的真實性

  • January 29, 2011

我正在嘗試驗證我的httpd-2.2.17.tar.gz圖像的完整性。

我按照以下頁面中編寫的步驟進行操作:

但我得到了:

警告:此密鑰未經可信簽名認證!

gpg:沒有跡象表明簽名屬於所有者。

為了驗證密鑰的真實性,我需要做什麼?

通常的驗證方式是聯繫密鑰所有者並要求他/她(通過電話或親自)向您提供他們的密鑰指紋。如果您有充分的理由相信您實際上是在與密鑰辨識的人交談,並且如果此人提供的指紋與您擁有的密鑰指紋匹配,那麼您可以非常確定您擁有所有者的真實公鑰(並且不是冒名頂替者為冒充該人而創建的偽造密鑰)。

一旦您滿意地驗證了密鑰的真實性,您應該使用自己的私鑰簽署該公鑰。一旦您簽署了密鑰,您將不再收到這些警告,因為通過簽署它,您已經表明您相信密鑰是真實的。

引用自:https://serverfault.com/questions/201771