Я новичок в этой вещи PGP. Вот мои вопросы:
Проверка
Когда я делаю это, мне выдается сообщение «Этот ключ не сертифицирован с доверенной подписью». Есть ли способ сделать его доверенным и, тем не менее, каков правильный способ сделать это?
[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F 89EE 45AC 7857 189C DBC5
Управляющий ключ
Я скачал и сохранил открытый ключ как isc.public.key и импортировал его с помощью следующей команды:
gpg –import isc.public.key
Я уверен, что на нем есть срок годности, так как мне сделать следующее:
- Узнайте, когда он истекает? На самом деле, говорит ли мне GPG, когда срок действия ключа, который я импортировал, уже истек, когда я выполняю команду "gpg --verify"?
- Обнови ключ. Нужно ли удалять ключ и повторно импортировать, когда это происходит?
Благодарность!
man gpgбыло бы очень хорошее начало.Ответы:
«Надежная подпись» - это подпись ключа, которому вы доверяете, либо потому, что (а) вы лично убедились, что он принадлежит тому человеку, которому, как он утверждает, он принадлежит, либо (б) потому что он был подписан ключом, который Вы доверяете, возможно, через ряд промежуточных ключей.
Вы можете редактировать уровень доверия ключей, запустив "gpg --edit-key", а затем используя
trustкоманду. В этом разделе руководства GPG обсуждается ключевое доверие, и его стоит прочитать: хорошая безопасность - это сложно.Обратите внимание, что предупреждение «Этот ключ не сертифицирован с доверенной подписью» в основном означает «эта вещь могла быть подписана кем-либо». Я могу создать ключ, который претендует на «Internet Systems Consortium, Inc. (Signing key, 2013)», и подписать его, и GPG с радостью подтвердит, что да, то, что я подписал, было подписано моим ключом. Чтобы избежать этой проблемы, вы, вероятно, должны загрузить ключ ISC GPG с веб-сайта и либо окончательно доверять ему («я уверен, что этот объект может сертифицировать себя»), либо подписывать его своим окончательно доверенным закрытым ключом. Без надлежащего управления доверием ключей проверка подписи в основном является театральной.
Запуск
gpg -k <keyid>покажет вам, когда истечет срок действия данного ключа. Например, я создал ключ, срок действия которого истекает завтра, иgpg -k <keyid>дает мне:Вы можете видеть, что даты истечения срока действия на подразделах четко обозначены. Обратите внимание, что подключи, используемые для подписи и шифрования, могут иметь разные даты истечения срока действия из первичного ключа. Вы можете прочитать больше о подключах здесь .
Да, GPG сообщит вам об истекшем ключе. Обратите внимание, что это не обязательно представляет проблему: подпись была действительной, когда документ был подписан.
Вы должны настроить свою среду GPG на использование сервера ключей и периодически запускать ее
gpg --refresh-keys. Это обновит все ключи в вашем брелоке новой информацией от сервера ключей, которая может включать:Если человек или организация начинают использовать новый ключ, вы просто добавляете его в свою цепочку ключей - вам не нужно удалять существующий ключ.
источник