Início / computer / Perguntas / 1782598
Accepted
bluesquare
Asked: 2023-05-06 01:40:54 +0800 CST

Por que não consigo verificar independentemente se a chave pessoal de um desenvolvedor foi assinada por uma chave mestra?

  • 772

Diz aqui que existem 5 chaves de assinatura mestre para o projeto Arch Linux. Ele também diz que desenvolvedores ativos e confiáveis ​​têm suas chaves assinadas por uma ou mais chaves mestras. E podemos ver que a chave pessoal de Pierre Schmitz é assinada pelas chaves mestras 0x77514E00, 0x7BE9892E e 0x037F4F41.

Agora, importei todas as chaves mestras do projeto Arch, incluindo 0x77514E00, 0x7BE9892E e 0x037F4F41, que, segundo o site do Arch, assinaram a chave pessoal de Pierre Schmitz. insira a descrição da imagem aqui

Eu verifiquei o archlinux-x86_64.iso com o archlinux-x86_64.iso.sig. Ele disse que não foi verificado e para procurar esse ID de chave

0x3E80CA1A8B89F69CBA57D98A76A5EF9054449A5C

. Multar. Mas eu só queria verificar independentemente se a chave pessoal de Pierre Schmitz está de fato assinada pelas chaves mestras para que eu possa começar a fazer essas verificações de forma inteligente durante esta e muitas tarefas futuras.

Listei assinaturas para o ID da chave de Pierre Schmitz : insira a descrição da imagem aqui Auto-assinado ok, acho que preciso receber as chaves?

Executei chaves recv no ID da chave: insira a descrição da imagem aqui

eu atualizo: insira a descrição da imagem aqui

E listei as chaves novamente para o ID em questão: insira a descrição da imagem aqui

Isso realmente não é possível? Não é sempre ou nunca possível verificar independentemente se uma chave foi assinada por um conjunto definido de chaves mestras? Ou onde estou cometendo um erro neste procedimento de verificação?

arch-linux

1 respostas

  1. Best Answer

    Parece que sua instalação do GnuPG está configurada para remover todas as assinaturas não próprias das chaves importadas, como é o padrão em todas as novas versões. Se você quiser mantê-los, agora terá que optar explicitamente por isso:

    $ gpg --keyserver-options no-self-sigs-only --recv-key 3E80CA1A...

    Essa filtragem se tornou o padrão em 2019, pois os servidores de chaves públicos foram repentinamente inundados com toneladas de assinaturas de lixo (especialmente com o antigo software de servidor de chaves SKS aceitando até mesmo pacotes malformados que quebrariam totalmente o GnuPG).

    Isso fez com que a distribuição de assinaturas no estilo WoT por meio de servidores de chaves morresse ainda mais do que já acontecia; o pool de servidores de chaves baseado em SKS foi totalmente desativado; com grandes servidores de chaves mudando para software diferente e muitas vezes não sincronizando entre si. (Alguns novos servidores de chaves, como o Hagrid, nem mesmo aceitam assinaturas não próprias.)

    Como resultado, o Arch Linux em geral não usa mais servidores de chaves como seu mecanismo primário de distribuição de chaves. Em vez disso, as chaves podem ser recuperadas diretamente https://archlinux.orgvia WKD, da mesma forma que são distribuídas pelo pacote Arch – com assinaturas de outros desenvolvedores anexadas, mas nada mais:

    $ gpg --auto-key-locate clear,wkd --locate-external-key [email protected]
$ gpg --list-sigs [email protected]
    • 1

relate perguntas