When I do this, I'm given the message "This key is not certified with a trusted signature". Is there anyway to make it trusted and better yet what's the proper way for doing so?
Uma "assinatura confiável" é uma assinatura de uma chave em que você confia, ou porque (a) você verificou pessoalmente que ela pertence à pessoa a quem ela alega pertencer ou (b) porque ela foi assinada por uma chave em que você confia, possivelmente por meio de uma série de chaves intermediárias.
Você pode editar o nível de confiança das chaves executando "gpg --edit-key" e, em seguida, usando o comando trust
. Esta seção do manual do GPG discute a confiança da chave, e vale a pena ler: boa segurança é difícil .
Observe que o aviso "Esta chave não é certificada com uma assinatura confiável" basicamente significa "essa coisa poderia ter sido assinada por qualquer pessoa". Eu posso criar uma chave que diz ser para "Internet Systems Consortium, Inc. (Chave de assinatura, 2013)", e assinar coisas com ela, e o GPG irá alegremente confirmar que sim, as coisas que eu assinei foram assinadas com a minha chave. Para evitar esse problema, presumivelmente, você faria o download da chave GPG do ISC do site e ou confiar em última instância ("Acredito que essa entidade possa se certificar") ou assiná-la com sua chave privada confiável. Sem o gerenciamento adequado da confiança principal, a verificação de assinaturas é principalmente de teatro.
Find out when it expires?
A execução de gpg -k <keyid>
mostrará quando uma determinada chave expirar. Por exemplo, criei uma chave que expira amanhã e gpg -k <keyid>
me dá:
$ gpg -k 0xD4C2B757C3FAE256
pub 2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid [ultimate] Test User <[email protected]>
sub 2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]
Você pode ver que as datas de expiração nas subchaves estão claramente marcadas. Observe que as subchaves usadas para assinatura e criptografia podem ter datas de vencimento diferentes da chave primária. Você pode ler mais sobre subchaves aqui .
In fact does GPG tells me when the key I've imported has already expired when I do a "gpg --verify"?
Sim, o GPG notificará você sobre uma chave expirada. Observe que isso não representa necessariamente um problema: a assinatura era válida quando o documento foi assinado.
Update the key. Do I have to delete the key and re-import when this happens?
Você deve ter seu ambiente GPG configurado para usar um servidor de chaves e executar periodicamente gpg --refresh-keys
. Isso atualizará todas as chaves do seu chaveiro com novas informações do servidor de chaves, que podem incluir:
- novas datas de expiração
- assinaturas adicionais na chave
Se uma pessoa ou organização começar a usar uma nova chave, basta adicioná-la ao seu conjunto de chaves. Você não precisará excluir a chave existente.