Você ou sua distribuição adicionou a opção weak-digest SHA1
à configuração do GnuPG ( ~/.gnupg/gpg.conf
), fazendo com que ela rejeitasse assinaturas feitas com SHA-1 como "fracas". (Por padrão, apenas o MD5 é rejeitado. O SHA-1 ainda é aceitável, mas apenas pouco.)
Sem essa opção, a saída esperada é:
$ gpg --recv-keys 28D3BED851FDF3AB57FEF93C233587A47C207910 gpg: key 233587A47C207910: public key "Nicolas Petton <[email protected]>" imported gpg: marginals needed: 3 completes needed: 1 trust model: pgp gpg: depth: 0 valid: 2 signed: 9 trust: 0-, 0q, 0n, 0m, 0f, 2u gpg: depth: 1 valid: 9 signed: 78 trust: 3-, 0q, 0n, 6m, 0f, 0u gpg: depth: 2 valid: 68 signed: 18 trust: 31-, 20q, 2n, 15m, 0f, 0u gpg: depth: 3 valid: 2 signed: 2 trust: 1-, 1q, 0n, 0m, 0f, 0u gpg: next trustdb check due at 2018-06-25 gpg: Total number processed: 1 gpg: imported: 1
I guess if I received the key from keyserver, I would know its fingerprint
Não necessariamente. Você ainda não sabe se recebeu a chave real ou alguma outra chave que tenha o mesmo ID de chave. Os IDs de chave 'curtos' (8 dígitos) são muito fáceis de duplicar, e o futuro para os 'longos' (16 dígitos) também não parece bom. Se você já conhece a impressão digital, você deve usá-la diretamente com --recv-keys
e outros comandos.
Em qualquer caso, você não deve obter impressões digitais do servidor de chaves; esse tipo de derrota todo o ponto de verificação por impressão digital.
Would it be enough information to confirm the key and set its trust to full?
Sim e não. Você pode confirmar a chave como válida, mas definir a confiança de uma chave não é a mesma coisa - ela realmente permite que essa chave contribua para a validade de outras chaves (é assim que a "web de confiança" é construída ).
Se você não conhece a pessoa (ou, em particular, não conhece suas práticas de PGP), você não deve atribuir nenhuma confiança às suas chaves. É suficiente marcar a chave como válida, usando --lsign-key <fingerprint>
se você quiser mantê-la apenas local ou usando --sign-key
se quiser publicar a "confirmação".