Jak zweryfikować zaimportowany klucz GPG

Jestem nowy w PGP. Oto moje pytania: Weryfikacja
Kiedy to robię, pojawia się komunikat „Ten klucz nie jest certyfikowany zaufanym podpisem”. Czy istnieje sposób, aby uczynić go zaufanym i lepszym, ale jaki jest właściwy sposób?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Zarządzanie
kluczem Pobrałem i zapisałem klucz publiczny jako isc.public.key i zaimportowałem go za pomocą następującego polecenia:

gpg –import isc.public.key

Jestem pewien, że jest na nim data ważności, więc jak to zrobić:

1. Dowiedz się, kiedy wygaśnie? W rzeczywistości, czy GPG mówi mi, kiedy klucz, który zaimportowałem, wygasł już, kiedy wykonuję „gpg - zweryfikuj”?
2. Zaktualizuj klucz. Czy muszę to usunąć i ponownie zaimportować, gdy to się stanie?

Dzięki!

Gdy to robię, pojawia się komunikat „Ten klucz nie jest opatrzony zaufanym podpisem”. Czy istnieje sposób, aby uczynić go zaufanym i lepszym, ale jaki jest właściwy sposób?

„Podpis zaufany” to podpis z klucza, któremu ufasz, ponieważ (a) osobiście zweryfikowałeś, że należy on do osoby, do której twierdzi, że należy, lub (b) ponieważ został podpisany przez klucz, który ufasz, prawdopodobnie poprzez serię kluczy pośrednich.

Możesz edytować poziom zaufania kluczy, uruchamiając polecenie „gpg --edit-key”, a następnie używając trustpolecenia. W tej części podręcznika GPG omówiono kluczowe zaufanie i warto przeczytać: dobre bezpieczeństwo jest trudne.

Zauważ, że ostrzeżenie „Ten klucz nie ma certyfikatu z zaufanym podpisem” oznacza w zasadzie „ta rzecz mogła zostać podpisana przez każdego”. Potrafię utworzyć klucz, który ma być „Konsorcjum Internet Systems, Inc. (Klucz podpisu, 2013)”, i podpisać go za pomocą tego narzędzia, a GPG z przyjemnością potwierdzi, że tak, podpisane przeze mnie rzeczy zostały podpisane przy użyciu mojego klucza. Aby uniknąć tego problemu, prawdopodobnie pobierzesz klucz ISC GPG ze strony internetowej i albo całkowicie mu zaufasz („Wierzę, że ten podmiot może się poświadczyć”), albo podpisz go swoim ostatecznie zaufanym kluczem prywatnym. Bez odpowiedniego zarządzania kluczowym zaufaniem weryfikacja podpisów jest w większości teatralna.

Dowiedz się, kiedy wygaśnie?

Uruchomienie gpg -k <keyid>pokaże, kiedy dany klucz wygaśnie. Na przykład utworzyłem klucz, który wygasa jutro, i gpg -k <keyid>daje mi:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <[email protected]>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Widać, że daty ważności podkluczy są wyraźnie oznaczone. Należy pamiętać, że podklucze używane do podpisywania i szyfrowania mogą mieć inne daty ważności niż klucz podstawowy. Możesz przeczytać więcej o podkluczach tutaj .

W rzeczywistości, czy GPG mówi mi, kiedy klucz, który zaimportowałem, wygasł już, kiedy wykonuję „gpg - zweryfikuj”?

Tak, GPG powiadomi Cię o wygaśnięciu klucza. Pamiętaj, że nie musi to stanowić problemu: podpis był ważny w momencie podpisania dokumentu.

Zaktualizuj klucz. Czy muszę to usunąć i ponownie zaimportować, gdy to się stanie?

Powinieneś mieć skonfigurowane środowisko GPG do korzystania z serwera kluczy i okresowego uruchamiania gpg --refresh-keys. Spowoduje to zaktualizowanie wszystkich kluczy w twoim zestawie kluczy o nowe informacje z serwera kluczy, które mogą obejmować:

• nowe daty ważności
• dodatkowe podpisy na kluczu

Jeśli osoba lub organizacja zacznie używać nowego klucza, wystarczy dodać go do pęku kluczy - nie trzeba usuwać istniejącego klucza.