Jestem nowy w PGP. Oto moje pytania:
Weryfikacja
Kiedy to robię, pojawia się komunikat „Ten klucz nie jest certyfikowany zaufanym podpisem”. Czy istnieje sposób, aby uczynić go zaufanym i lepszym, ale jaki jest właściwy sposób?
[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F 89EE 45AC 7857 189C DBC5
Zarządzanie
kluczem Pobrałem i zapisałem klucz publiczny jako isc.public.key i zaimportowałem go za pomocą następującego polecenia:
gpg –import isc.public.key
Jestem pewien, że jest na nim data ważności, więc jak to zrobić:
- Dowiedz się, kiedy wygaśnie? W rzeczywistości, czy GPG mówi mi, kiedy klucz, który zaimportowałem, wygasł już, kiedy wykonuję „gpg - zweryfikuj”?
- Zaktualizuj klucz. Czy muszę to usunąć i ponownie zaimportować, gdy to się stanie?
Dzięki!
man gpg
byłoby bardzo dobrym początkiem.Odpowiedzi:
„Podpis zaufany” to podpis z klucza, któremu ufasz, ponieważ (a) osobiście zweryfikowałeś, że należy on do osoby, do której twierdzi, że należy, lub (b) ponieważ został podpisany przez klucz, który ufasz, prawdopodobnie poprzez serię kluczy pośrednich.
Możesz edytować poziom zaufania kluczy, uruchamiając polecenie „gpg --edit-key”, a następnie używając
trust
polecenia. W tej części podręcznika GPG omówiono kluczowe zaufanie i warto przeczytać: dobre bezpieczeństwo jest trudne.Zauważ, że ostrzeżenie „Ten klucz nie ma certyfikatu z zaufanym podpisem” oznacza w zasadzie „ta rzecz mogła zostać podpisana przez każdego”. Potrafię utworzyć klucz, który ma być „Konsorcjum Internet Systems, Inc. (Klucz podpisu, 2013)”, i podpisać go za pomocą tego narzędzia, a GPG z przyjemnością potwierdzi, że tak, podpisane przeze mnie rzeczy zostały podpisane przy użyciu mojego klucza. Aby uniknąć tego problemu, prawdopodobnie pobierzesz klucz ISC GPG ze strony internetowej i albo całkowicie mu zaufasz („Wierzę, że ten podmiot może się poświadczyć”), albo podpisz go swoim ostatecznie zaufanym kluczem prywatnym. Bez odpowiedniego zarządzania kluczowym zaufaniem weryfikacja podpisów jest w większości teatralna.
Uruchomienie
gpg -k <keyid>
pokaże, kiedy dany klucz wygaśnie. Na przykład utworzyłem klucz, który wygasa jutro, igpg -k <keyid>
daje mi:Widać, że daty ważności podkluczy są wyraźnie oznaczone. Należy pamiętać, że podklucze używane do podpisywania i szyfrowania mogą mieć inne daty ważności niż klucz podstawowy. Możesz przeczytać więcej o podkluczach tutaj .
Tak, GPG powiadomi Cię o wygaśnięciu klucza. Pamiętaj, że nie musi to stanowić problemu: podpis był ważny w momencie podpisania dokumentu.
Powinieneś mieć skonfigurowane środowisko GPG do korzystania z serwera kluczy i okresowego uruchamiania
gpg --refresh-keys
. Spowoduje to zaktualizowanie wszystkich kluczy w twoim zestawie kluczy o nowe informacje z serwera kluczy, które mogą obejmować:Jeśli osoba lub organizacja zacznie używać nowego klucza, wystarczy dodać go do pęku kluczy - nie trzeba usuwać istniejącego klucza.
źródło