Como verificar uma chave GPG importada

27

Eu sou novo nessa coisa de PGP. Aqui estão minhas perguntas: Verificação
Quando faço isso, recebo a mensagem "Esta chave não é certificada com uma assinatura confiável". Existe alguma maneira de torná-lo confiável e melhor ainda, qual é a maneira correta de fazer isso?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Gerenciando a chave
Eu baixei e salvei uma chave pública como isc.public.key e importei usando o seguinte comando:

gpg –import isc.public.key

Tenho certeza de que há uma data de expiração, então como faço o seguinte:

  1. Descubra quando expira? Na verdade, o GPG informa quando a chave que importei já expirou quando eu faço um "gpg --verify"?
  2. Atualize a chave. Preciso excluir a chave e reimportar quando isso acontece?

Obrigado!

    
por user192702 26.01.2014 / 02:32

1 resposta

39

When I do this, I'm given the message "This key is not certified with a trusted signature". Is there anyway to make it trusted and better yet what's the proper way for doing so?

Uma "assinatura confiável" é uma assinatura de uma chave em que você confia, ou porque (a) você verificou pessoalmente que ela pertence à pessoa a quem ela alega pertencer ou (b) porque ela foi assinada por uma chave em que você confia, possivelmente por meio de uma série de chaves intermediárias.

Você pode editar o nível de confiança das chaves executando "gpg --edit-key" e, em seguida, usando o comando trust . Esta seção do manual do GPG discute a confiança da chave, e vale a pena ler: boa segurança é difícil .

Observe que o aviso "Esta chave não é certificada com uma assinatura confiável" basicamente significa "essa coisa poderia ter sido assinada por qualquer pessoa". Eu posso criar uma chave que diz ser para "Internet Systems Consortium, Inc. (Chave de assinatura, 2013)", e assinar coisas com ela, e o GPG irá alegremente confirmar que sim, as coisas que eu assinei foram assinadas com a minha chave. Para evitar esse problema, presumivelmente, você faria o download da chave GPG do ISC do site e ou confiar em última instância ("Acredito que essa entidade possa se certificar") ou assiná-la com sua chave privada confiável. Sem o gerenciamento adequado da confiança principal, a verificação de assinaturas é principalmente de teatro.

Find out when it expires?

A execução de gpg -k <keyid> mostrará quando uma determinada chave expirar. Por exemplo, criei uma chave que expira amanhã e gpg -k <keyid> me dá:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <[email protected]>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Você pode ver que as datas de expiração nas subchaves estão claramente marcadas. Observe que as subchaves usadas para assinatura e criptografia podem ter datas de vencimento diferentes da chave primária. Você pode ler mais sobre subchaves aqui .

In fact does GPG tells me when the key I've imported has already expired when I do a "gpg --verify"?

Sim, o GPG notificará você sobre uma chave expirada. Observe que isso não representa necessariamente um problema: a assinatura era válida quando o documento foi assinado.

Update the key. Do I have to delete the key and re-import when this happens?

Você deve ter seu ambiente GPG configurado para usar um servidor de chaves e executar periodicamente gpg --refresh-keys . Isso atualizará todas as chaves do seu chaveiro com novas informações do servidor de chaves, que podem incluir:

  • novas datas de expiração
  • assinaturas adicionais na chave

Se uma pessoa ou organização começar a usar uma nova chave, basta adicioná-la ao seu conjunto de chaves. Você não precisará excluir a chave existente.

    
por 26.01.2014 / 03:32