Khi tôi làm điều này, tôi nhận được thông báo "Khóa này không được chứng nhận bằng chữ ký đáng tin cậy". Có cách nào để làm cho nó đáng tin cậy và tốt hơn thế nào là cách thích hợp để làm như vậy không?
"Chữ ký đáng tin cậy" là chữ ký từ khóa mà bạn tin tưởng, bởi vì (a) bạn đã xác nhận cá nhân rằng nó thuộc về người mà họ tuyên bố thuộc về, hoặc (b) vì nó đã được ký bởi một khóa mà bạn tin tưởng, có thể thông qua một loạt các khóa trung gian.
Bạn có thể chỉnh sửa mức độ tin cậy của các khóa bằng cách chạy "gpg --edit-key", sau đó sử dụng trust
lệnh. Phần này của hướng dẫn GPG thảo luận về sự tin cậy chính và nó đáng để đọc: bảo mật tốt là khó.
Lưu ý rằng cảnh báo "Khóa này không được chứng nhận bằng chữ ký đáng tin cậy" về cơ bản có nghĩa là "điều này có thể đã được ký bởi bất kỳ ai". Tôi có thể tạo một khóa tuyên bố là "Internet Systems Consortium, Inc. (Khóa ký, 2013)" và ký tên với nó, và GPG sẽ vui vẻ xác nhận rằng có, những thứ tôi đã ký đã được ký với khóa của tôi. Để tránh vấn đề này, có lẽ bạn sẽ tải xuống khóa GPG ISC từ trang web và cuối cùng tin tưởng nó ("Tôi tin rằng thực thể này có thể tự chứng nhận") hoặc ký tên với khóa riêng đáng tin cậy cuối cùng của bạn. Không có sự quản lý thích hợp của niềm tin chính, xác minh chữ ký chủ yếu là rạp hát.
Tìm ra khi nó hết hạn?
Chạy gpg -k <keyid>
sẽ hiển thị cho bạn khi một khóa nhất định hết hạn. Ví dụ: tôi đã tạo một khóa hết hạn vào ngày mai và gpg -k <keyid>
đưa cho tôi:
$ gpg -k 0xD4C2B757C3FAE256
pub 2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid [ultimate] Test User <testuser@example.com>
sub 2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]
Bạn có thể thấy rằng ngày hết hạn trên các khóa con được đánh dấu rõ ràng. Lưu ý rằng các khóa con được sử dụng để ký và mã hóa có thể có ngày hết hạn khác với khóa chính. Bạn có thể đọc thêm về khóa con ở đây .
Trên thực tế, GPG có cho tôi biết khi nào khóa tôi đã nhập đã hết hạn khi tôi thực hiện "gpg --verify" không?
Có, GPG sẽ thông báo cho bạn về một khóa đã hết hạn. Lưu ý rằng điều này không nhất thiết thể hiện một vấn đề: chữ ký hợp lệ khi tài liệu được ký.
Cập nhật chìa khóa. Tôi có phải xóa khóa và nhập lại khi điều này xảy ra không?
Bạn nên cấu hình môi trường GPG để sử dụng máy chủ khóa và chạy định kỳ gpg --refresh-keys
. Điều này sẽ cập nhật bất kỳ khóa nào trong khóa của bạn với thông tin mới từ máy chủ khóa, có thể bao gồm:
- ngày hết hạn mới
- chữ ký bổ sung trên chìa khóa
Nếu một người hoặc tổ chức bắt đầu sử dụng khóa mới, bạn sẽ chỉ cần thêm nó vào móc khóa của mình - bạn không cần phải xóa khóa hiện tại.
man gpg
sẽ là một khởi đầu rất tốt.