如何驗證導入的 GPG 密鑰
我是這個 PGP 的新手。以下是我的問題: 驗證
當我執行此操作時,我收到消息“此密鑰未通過可信簽名認證”。無論如何,有沒有讓它值得信賴和更好,但這樣做的正確方法是什麼?
[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5 gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>" gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 2B48 A38A E1CF 9886 435F 89EE 45AC 7857 189C DBC5
管理密鑰
我下載了一個公鑰並將其保存為 isc.public.key,並使用以下命令導入它:
gpg –import isc.public.key
我確定它有一個到期日期,所以我該如何執行以下操作:
- 看看什麼時候到期?事實上,當我執行“gpg –verify”時,GPG 是否會告訴我我導入的密鑰何時已經過期?
- 更新密鑰。發生這種情況時是否必須刪除密鑰並重新導入?
謝謝!
執行此操作時,我收到消息“此密鑰未通過可信簽名認證”。無論如何,有沒有讓它值得信賴和更好,但這樣做的正確方法是什麼?
“受信任的簽名”是來自您信任的密鑰的簽名,因為 (a) 您已親自驗證它屬於它聲稱屬於的人,或者 (b) 因為它已由一個密鑰簽名您信任,可能通過一系列中間密鑰。
您可以通過執行“gpg –edit-key”,然後使用
trust
命令來編輯密鑰的信任級別。 GPG 手冊的這一部分討論了密鑰信任,值得一讀:良好的安全性很難。請注意,警告“此密鑰未經可信簽名認證”基本上意味著“此事物可能已由任何人簽名”。我可以創建一個聲稱是“Internet Systems Consortium, Inc. (Signing key, 2013)”的密鑰,並用它簽名,GPG 會很高興地確認是的,我簽名的東西是用我的密鑰簽名的。為避免此問題,您可能會從網站下載 ISC GPG 密鑰並最終信任它(“我相信該實體可以證明自己”)或使用您最終信任的私鑰對其進行簽名。如果沒有對密鑰信任進行適當的管理,簽名驗證大多是戲劇性的。
看看什麼時候到期?
執行
gpg -k <keyid>
將顯示給定密鑰何時過期。例如,我創建了一個明天到期的密鑰,並gpg -k <keyid>
給了我:$ gpg -k 0xD4C2B757C3FAE256 pub 2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27] uid [ultimate] Test User <testuser@example.com> sub 2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]
您可以看到子項上的到期日期被清楚地標記。請注意,用於簽名和加密的子密鑰可能與主密鑰具有不同的到期日期。您可以在此處閱讀有關子鍵的更多資訊。
事實上,當我執行“gpg –verify”時,GPG 是否會告訴我我導入的密鑰何時已經過期?
是的,GPG 會通知您密鑰已過期。請注意,這並不一定代表一個問題:簽名在文件簽署時是有效的。
更新密鑰。發生這種情況時是否必須刪除密鑰並重新導入?
您應該將 GPG 環境配置為使用密鑰伺服器,並定期執行
gpg --refresh-keys
. 這將使用來自密鑰伺服器的新資訊更新密鑰環中的任何密鑰,其中可能包括:
- 新的到期日期
- 密鑰上的附加簽名
如果一個人或組織開始使用新密鑰,您只需將其添加到您的鑰匙串中 - 您無需刪除現有密鑰。