它在这里说Arch Linux 项目有 5 个主签名密钥。它还表示,活跃的、受信任的开发人员的密钥由一个或多个主密钥签名。我们可以看到 Pierre Schmitz 的个人密钥是由主密钥 0x77514E00、0x7BE9892E 和 0x037F4F41 签名的。
现在,我导入了所有 Arch 项目主密钥,包括 0x77514E00、0x7BE9892E 和 0x037F4F41,Arch 网站上声称这些主密钥已经签署了 Pierre Schmitz 的个人密钥。
我用 archlinux-x86_64.iso.sig 验证了 archlinux-x86_64.iso。它说它未经验证并去寻找这个密钥ID
0x3E80CA1A8B89F69CBA57D98A76A5EF9054449A5C
. 美好的。但我只是想独立验证 Pierre Schmitz 的个人密钥实际上是由主密钥签名的,这样我就可以在这个和许多未来的任务中开始智能地进行这些验证。
我列出了 Pierre Schmitz 密钥 ID 的签名:
自签名好的,我想我需要接收密钥?
我在密钥 ID 上运行了 recv 密钥:
我刷新:
我再次列出了相关 ID 的密钥:
这实际上不可能吗?独立验证密钥是否由一组已定义的主密钥签署不是总是或永远不可能吗?或者我在这个验证程序中哪里犯了错误?
听起来您的 GnuPG 安装配置为从导入的密钥中去除所有非自我签名,这是所有新版本中的默认设置。如果您想保留它们,您现在必须明确选择加入:
这种过滤在 2019 年成为默认设置,因为公钥服务器突然充斥着大量垃圾签名(尤其是旧的 SKS 密钥服务器软件甚至接受会完全破坏 GnuPG 的畸形数据包)。
这导致通过密钥服务器进行的 WoT 风格的签名分发比它已经存在的更多地消失了;基于 SKS 的密钥服务器池彻底关闭;大型密钥服务器切换到不同的软件并且通常不再相互同步。(一些新的密钥服务器,如海格甚至根本不接受非自我签名。)
因此,Arch Linux 通常不再使用密钥服务器作为其主要密钥分发机制。相反,可以通过 WKD 直接检索密钥
https://archlinux.org,其形式与通过 Arch 打包分发的形式相同——附加其他开发人员的签名,但除此之外别无其他: