Gpg

如何驗證導入的 GPG 密鑰

  • January 26, 2014

我是這個 PGP 的新手。以下是我的問題: 驗證

當我執行此操作時,我收到消息“此密鑰未通過可信簽名認證”。無論如何,有沒有讓它值得信賴和更好,但這樣做的正確方法是什麼?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

管理密鑰

我下載了一個公鑰並將其保存為 isc.public.key,並使用以下命令導入它:

gpg –import isc.public.key

我確定它有一個到期日期,所以我該如何執行以下操作:

  1. 看看什麼時候到期?事實上,當我執行“gpg –verify”時,GPG 是否會告訴我我導入的密鑰何時已經過期?
  2. 更新密鑰。發生這種情況時是否必須刪除密鑰並重新導入?

謝謝!

執行此操作時,我收到消息“此密鑰未通過可信簽名認證”。無論如何,有沒有讓它值得信賴和更好,但這樣做的正確方法是什麼?

“受信任的簽名”是來自您信任的密鑰的簽名,因為 (a) 您已親自驗證它屬於它聲稱屬於的人,或者 (b) 因為它已由一個密鑰簽名您信任,可能通過一系列中間密鑰。

您可以通過執行“gpg –edit-key”,然後使用trust命令來編輯密鑰的信任級別。 GPG 手冊的這一部分討論了密鑰信任,值得一讀:良好的安全性很難。

請注意,警告“此密鑰未經可信簽名認證”基本上意味著“此事物可能已由任何人簽名”。我可以創建一個聲稱是“Internet Systems Consortium, Inc. (Signing key, 2013)”的密鑰,並用它簽名,GPG 會很高興地確認是的,我簽名的東西是用我的密鑰簽名的。為避免此問題,您可能會從網站下載 ISC GPG 密鑰並最終信任它(“我相信該實體可以證明自己”)或使用您最終信任的私鑰對其進行簽名。如果沒有對密鑰信任進行適當的管理,簽名驗證大多是戲劇性的。

看看什麼時候到期?

執行gpg -k <keyid>將顯示給定密鑰何時過期。例如,我創建了一個明天到期的密鑰,並gpg -k <keyid>給了我:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

您可以看到子項上的到期日期被清楚地標記。請注意,用於簽名和加密的子密鑰可能與主密鑰具有不同的到期日期。您可以在此處閱讀有關子鍵的更多資訊。

事實上,當我執行“gpg –verify”時,GPG 是否會告訴我我導入的密鑰何時已經過期?

是的,GPG 會通知您密鑰已過期。請注意,這並不一定代表一個問題:簽名在文件簽署時是有效的。

更新密鑰。發生這種情況時是否必須刪除密鑰並重新導入?

您應該將 GPG 環境配置為使用密鑰伺服器,並定期執行gpg --refresh-keys. 這將使用來自密鑰伺服器的新資訊更新密鑰環中的任何密鑰,其中可能包括:

  • 新的到期日期
  • 密鑰上的附加簽名

如果一個人或組織開始使用新密鑰,您只需將其添加到您的鑰匙串中 - 您無需刪除現有密鑰。

引用自:https://serverfault.com/questions/569911