我是这个 PGP 的新手。以下是我的问题:
验证
当我执行此操作时,我收到消息“此密钥未通过可信签名认证”。无论如何,有没有让它值得信赖和更好,但这样做的正确方法是什么?
[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F 89EE 45AC 7857 189C DBC5
管理密钥
我下载了一个公钥并将其保存为 isc.public.key,并使用以下命令导入它:
gpg –import isc.public.key
我确定它有一个到期日期,所以我该如何执行以下操作:
- 看看什么时候到期?事实上,当我执行“gpg --verify”时,GPG 是否会告诉我我导入的密钥何时已经过期?
- 更新密钥。发生这种情况时是否必须删除密钥并重新导入?
谢谢!
“受信任的签名”是来自您信任的密钥的签名,因为 (a) 您已亲自验证它属于它声称属于的人,或者 (b) 因为它已由一个密钥签名您信任,可能通过一系列中间密钥。
您可以通过运行“gpg --edit-key”,然后使用
trust命令来编辑密钥的信任级别。 GPG 手册的这一部分讨论了密钥信任,值得一读:良好的安全性很难。请注意,警告“此密钥未经可信签名认证”基本上意味着“此事物可能已由任何人签名”。我可以创建一个声称是“Internet Systems Consortium, Inc. (Signing key, 2013)”的密钥,并用它签署,GPG 会很高兴地确认是的,我签署的东西是用我的密钥签署的。为避免此问题,您可能会从网站下载 ISC GPG 密钥并最终信任它(“我相信该实体可以证明自己”)或使用您最终信任的私钥对其进行签名。如果没有对密钥信任进行适当的管理,签名验证大多是戏剧性的。
运行
gpg -k <keyid>将显示给定密钥何时过期。例如,我创建了一个明天到期的密钥,并gpg -k <keyid>给了我:您可以看到子项上的到期日期被清楚地标记。请注意,用于签名和加密的子密钥可能与主密钥具有不同的到期日期。您可以在此处阅读有关子键的更多信息。
是的,GPG 会通知您密钥已过期。请注意,这不一定代表一个问题:签名在文档签署时是有效的。
您应该将 GPG 环境配置为使用密钥服务器,并定期运行
gpg --refresh-keys. 这将使用来自密钥服务器的新信息更新密钥环中的任何密钥,其中可能包括:如果一个人或组织开始使用新密钥,您只需将其添加到您的钥匙串中 - 您无需删除现有密钥。