Cách xác minh khóa GPG đã nhập


34

Tôi mới biết điều PGP này. Đây là câu hỏi của tôi: Xác minh
Khi tôi thực hiện việc này, tôi nhận được thông báo "Khóa này không được chứng nhận bằng chữ ký đáng tin cậy". Có cách nào để làm cho nó đáng tin cậy và tốt hơn chưa, cách phù hợp để làm như vậy là gì?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Khóa quản lý
Tôi đã tải xuống và lưu khóa công khai dưới dạng isc.public.key và nhập nó bằng lệnh sau:

gpg –import isc.public.key

Tôi chắc chắn có một ngày hết hạn trên đó vì vậy làm thế nào để tôi làm như sau:

  1. Tìm ra khi nó hết hạn? Trên thực tế, GPG có cho tôi biết khi nào khóa tôi đã nhập đã hết hạn khi tôi thực hiện "gpg --verify" không?
  2. Cập nhật chìa khóa. Tôi có phải xóa khóa và nhập lại khi điều này xảy ra không?

Cảm ơn!


Theo như xác minh, bạn nên tìm một hướng dẫn về GPG, đặc biệt là thuật ngữ 'web của niềm tin'. Đối với câu hỏi thứ hai man gpgsẽ là một khởi đầu rất tốt.
Marki

1
Như larsks đã nói, bảo mật tốt là khó khăn; và đây là một chút lật lại để trả lời một câu hỏi chân thành với chi tiết hợp lý, phải không? Nếu tôi sai, tôi chắc chắn sẽ nhận được một cú smackdown và tôi không thể chịu bất kỳ tổn thất nào về "tình trạng" với tổng số của tôi ở mức 118; -} Điều đó nói rằng tôi đang bầu bạn cho 'web tin cậy' thuật ngữ tìm kiếm gợi ý.
Sinthia V

Câu trả lời:


46

Khi tôi làm điều này, tôi nhận được thông báo "Khóa này không được chứng nhận bằng chữ ký đáng tin cậy". Có cách nào để làm cho nó đáng tin cậy và tốt hơn thế nào là cách thích hợp để làm như vậy không?

"Chữ ký đáng tin cậy" là chữ ký từ khóa mà bạn tin tưởng, bởi vì (a) bạn đã xác nhận cá nhân rằng nó thuộc về người mà họ tuyên bố thuộc về, hoặc (b) vì nó đã được ký bởi một khóa mà bạn tin tưởng, có thể thông qua một loạt các khóa trung gian.

Bạn có thể chỉnh sửa mức độ tin cậy của các khóa bằng cách chạy "gpg --edit-key", sau đó sử dụng trustlệnh. Phần này của hướng dẫn GPG thảo luận về sự tin cậy chính và nó đáng để đọc: bảo mật tốt là khó.

Lưu ý rằng cảnh báo "Khóa này không được chứng nhận bằng chữ ký đáng tin cậy" về cơ bản có nghĩa là "điều này có thể đã được ký bởi bất kỳ ai". Tôi có thể tạo một khóa tuyên bố là "Internet Systems Consortium, Inc. (Khóa ký, 2013)" và ký tên với nó, và GPG sẽ vui vẻ xác nhận rằng có, những thứ tôi đã ký đã được ký với khóa của tôi. Để tránh vấn đề này, có lẽ bạn sẽ tải xuống khóa GPG ISC từ trang web và cuối cùng tin tưởng nó ("Tôi tin rằng thực thể này có thể tự chứng nhận") hoặc ký tên với khóa riêng đáng tin cậy cuối cùng của bạn. Không có sự quản lý thích hợp của niềm tin chính, xác minh chữ ký chủ yếu là rạp hát.

Tìm ra khi nó hết hạn?

Chạy gpg -k <keyid>sẽ hiển thị cho bạn khi một khóa nhất định hết hạn. Ví dụ: tôi đã tạo một khóa hết hạn vào ngày mai và gpg -k <keyid>đưa cho tôi:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Bạn có thể thấy rằng ngày hết hạn trên các khóa con được đánh dấu rõ ràng. Lưu ý rằng các khóa con được sử dụng để ký và mã hóa có thể có ngày hết hạn khác với khóa chính. Bạn có thể đọc thêm về khóa con ở đây .

Trên thực tế, GPG có cho tôi biết khi nào khóa tôi đã nhập đã hết hạn khi tôi thực hiện "gpg --verify" không?

Có, GPG sẽ thông báo cho bạn về một khóa đã hết hạn. Lưu ý rằng điều này không nhất thiết thể hiện một vấn đề: chữ ký hợp lệ khi tài liệu được ký.

Cập nhật chìa khóa. Tôi có phải xóa khóa và nhập lại khi điều này xảy ra không?

Bạn nên cấu hình môi trường GPG để sử dụng máy chủ khóa và chạy định kỳ gpg --refresh-keys. Điều này sẽ cập nhật bất kỳ khóa nào trong khóa của bạn với thông tin mới từ máy chủ khóa, có thể bao gồm:

  • ngày hết hạn mới
  • chữ ký bổ sung trên chìa khóa

Nếu một người hoặc tổ chức bắt đầu sử dụng khóa mới, bạn sẽ chỉ cần thêm nó vào móc khóa của mình - bạn không cần phải xóa khóa hiện tại.


1
Nếu không có trường hết hạn thì sao?
Aaron Franke
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.