Cần một tay với nhập khóa công khai mới

Tôi là người dùng mới của GnuPG. Tôi rất quen thuộc với khái niệm về khóa công khai và khóa riêng, cũng như Web of Trust sau khi đọc Sổ tay bảo mật GNU và một vài blog. Tuy nhiên, tôi không nên tiến hành như thế nào nếu tôi mới bắt đầu với một keyring và trustdb trống và cần kiểm tra các tệp mới được tải xuống từ internet.

Chẳng hạn, tôi muốn biên dịch Emacs từ các nguồn. Tôi đã tải xuống hai tệp từ trang web của nó Gnu Emacs : emacs-25.3.tar.gz.sigvà emacs-25.3.tar.gz. Tôi đã kiểm tra chữ ký và đã nhận được đầu ra này:

gpg: Signature made Mon 11 Sep 2017 20:52:45 BST
gpg:                using RSA key 28D3BED851FDF3AB57FEF93C233587A47C207910
gpg: Can't check signature: No public key

Vì một số lý do, tôi không thể truy xuất khóa "7C207910" dưới dạng trạng thái gpg:

[fw@localhost~ ]$ gpg --recv-keys 7C207910
gpg: Note: signatures using the SHA1 algorithm are rejected
gpg: key 0x233587A47C207910: 19 signatures not checked due to missing keys
gpg: key 0x233587A47C207910: 10 bad signatures
gpg: key 0x233587A47C207910: no valid user IDs
gpg: this may be caused by a missing self-signature
gpg: Total number processed: 1
gpg:           w/o user IDs: 1

Sau khi xác minh, tôi thấy rằng chìa khóa của Nicolas Petton, người có ID chính kết thúc bằng 7C207910. Tôi đoán nếu tôi nhận được chìa khóa từ máy chủ khóa, tôi sẽ biết dấu vân tay của nó. Nếu cả hai dấu vân tay trùng khớp, trên trang web và trong khóa mới nhận của tôi, liệu điều đó có đủ để xác nhận các tín hiệu chính đối với Nicolas Petton không? Nó có đủ thông tin để xác nhận khóa và đặt niềm tin của nó đầy đủ không?

Thói quen của bạn là gì?

Cảm ơn

Bạn hoặc bản phân phối của bạn đã thêm tùy chọn weak-digest SHA1vào cấu hình GnuPG ( ~/.gnupg/gpg.conf), khiến nó từ chối chữ ký được tạo bằng SHA-1 là "yếu". (Theo mặc định, chỉ MD5 bị từ chối. SHA-1 vẫn được chấp nhận, nhưng chỉ ở mức gần như không.)

Không có tùy chọn đó, đầu ra dự kiến ​​là:

$ gpg --recv-khóa 28D3BED851FDF3AB57FEF93C233587A47C207910
gpg: khóa 233587A47C207910: khóa công khai "Nicolas Petton <nicolas@petton.fr>" đã nhập
gpg: lề cần thiết: 3 hoàn thành cần thiết: 1 mô hình tin cậy: pgp
gpg: độ sâu: 0 hợp lệ: 2 đã ký: 9 tin cậy: 0-, 0q, 0n, 0m, 0f, 2u
gpg: độ sâu: 1 hợp lệ: 9 đã ký: 78 tin cậy: 3-, 0q, 0n, 6m, 0f, 0u
gpg: độ sâu: 2 hợp lệ: 68 đã ký: 18 tin cậy: 31-, 20q, 2n, 15m, 0f, 0u
gpg: độ sâu: 3 hợp lệ: 2 đã ký: 2 tin cậy: 1-, 1q, 0n, 0m, 0f, 0u
gpg: kiểm tra Trustdb tiếp theo vào năm 2018-06-25
gpg: Tổng số đã xử lý: 1
gpg: đã nhập: 1

Tôi đoán nếu tôi nhận được chìa khóa từ máy chủ khóa, tôi sẽ biết dấu vân tay của nó

Không cần thiết. Bạn vẫn chưa biết liệu bạn đã nhận được khóa thực hay một số khóa khác có cùng ID khóa. ID khóa 'ngắn' (8 chữ số) rất dễ bị trùng lặp và tương lai cho các ID 'dài' (16 chữ số) cũng không có vẻ tốt. Nếu bạn đã biết dấu vân tay, bạn nên trực tiếp sử dụng nó với --recv-keysvà các lệnh khác.

Trong mọi trường hợp, bạn không nên lấy dấu vân tay từ máy chủ khóa; đó là loại đánh bại toàn bộ điểm xác minh bằng dấu vân tay.

Nó có đủ thông tin để xác nhận khóa và đặt niềm tin của nó đầy đủ không?

Có và không. Bạn có thể xác nhận khóa là hợp lệ, nhưng việc đặt niềm tin của khóa không giống nhau - thực tế nó cho phép khóa đó đóng góp vào tính hợp lệ của các khóa khác (đó là cách "web tin cậy" được xây dựng).

Nếu bạn không biết người đó (hoặc đặc biệt không biết thực hành PGP của họ), bạn không nên gán bất kỳ sự tin tưởng nào cho khóa của họ. Nó đủ để đánh dấu khóa là hợp lệ, sử dụng --lsign-key <fingerprint>nếu bạn muốn giữ nó ở chế độ cục bộ hoặc sử dụng --sign-keynếu bạn muốn xuất bản "xác nhận".