Ich bin neu in dieser PGP-Sache. Hier sind meine Fragen:
Überprüfung
Wenn ich dies tue, erhalte ich die Meldung "Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert". Gibt es irgendetwas, um es vertrauenswürdig und besser zu machen, und was ist der richtige Weg, dies zu tun?
[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F 89EE 45AC 7857 189C DBC5
Verwalten des Schlüssels
Ich habe einen öffentlichen Schlüssel als isc.public.key heruntergeladen und gespeichert und ihn mit dem folgenden Befehl importiert:
gpg –import isc.public.key
Ich bin sicher, dass es ein Ablaufdatum gibt. Wie mache ich das Folgende:
- Herausfinden, wann es abläuft? Tatsächlich teilt mir GPG mit, wann der von mir importierte Schlüssel bereits abgelaufen ist, wenn ich eine "gpg --verify" -Verifizierung durchführe.
- Aktualisieren Sie den Schlüssel. Muss ich den Schlüssel löschen und erneut importieren, wenn dies passiert?
Vielen Dank!
man gpgwäre das ein sehr guter Anfang.Antworten:
Eine "vertrauenswürdige Signatur" ist eine Signatur eines Schlüssels, dem Sie vertrauen, entweder weil (a) Sie persönlich überprüft haben, dass er zu der Person gehört, zu der er zu gehören behauptet, oder (b) weil er mit einem Schlüssel signiert wurde, der Sie vertrauen, möglicherweise durch eine Reihe von Zwischentasten.
Sie können die Vertrauensstufe von Schlüsseln bearbeiten, indem Sie "gpg --edit-key" ausführen und dann den
trustBefehl verwenden. In diesem Abschnitt des GPG-Handbuchs wird das Vertrauen der Schlüssel erörtert, und es lohnt sich zu lesen: Gute Sicherheit ist schwer.Beachten Sie, dass die Warnung "Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert" im Grunde bedeutet, "diese Sache könnte von jedem signiert worden sein". Ich kann einen Schlüssel erstellen, der angeblich für "Internet Systems Consortium, Inc. (Signaturschlüssel, 2013)" steht, und Dinge damit signieren. GPG bestätigt dann gerne, dass die von mir signierten Dinge mit meinem Schlüssel signiert wurden. Um dieses Problem zu vermeiden, laden Sie den ISC GPG-Schlüssel vermutlich von der Website herunter und vertrauen ihm letztendlich ("Ich glaube, diese Entität kann sich selbst zertifizieren") oder signieren ihn mit Ihrem letztendlich vertrauenswürdigen privaten Schlüssel. Ohne eine ordnungsgemäße Verwaltung des Schlüsselvertrauens ist die Signaturüberprüfung größtenteils Theater.
Beim Ausführen
gpg -k <keyid>wird angezeigt, wann ein bestimmter Schlüssel abläuft. Zum Beispiel habe ich einen Schlüssel erstellt, der morgen abläuft undgpg -k <keyid>mir Folgendes gibt:Sie können sehen, dass die Ablaufdaten auf Unterschlüsseln deutlich gekennzeichnet sind. Beachten Sie, dass Unterschlüssel, die zum Signieren und Verschlüsseln verwendet werden, möglicherweise andere Ablaufdaten als der Primärschlüssel haben. Sie können mehr über Subkeys lesen hier .
Ja, GPG benachrichtigt Sie über einen abgelaufenen Schlüssel. Beachten Sie, dass dies nicht unbedingt ein Problem darstellt: Die Signatur war gültig, als das Dokument signiert wurde.
Sie sollten Ihre GPG-Umgebung für die Verwendung eines Keyservers konfiguriert haben und regelmäßig ausführen
gpg --refresh-keys. Dadurch werden alle Schlüssel in Ihrem Schlüsselbund mit neuen Informationen vom Schlüsselserver aktualisiert, darunter:Wenn eine Person oder Organisation einen neuen Schlüssel verwendet, fügen Sie ihn einfach zu Ihrem Schlüsselbund hinzu. Sie müssen den vorhandenen Schlüssel nicht löschen.
quelle