インポートされたGPGキーを確認する方法

34

私はこのPGPについては初めてです。私の質問は次のとおりです。 検証
これを行うと、「このキーは信頼できる署名で認証されていません」というメッセージが表示されます。とにかくそれを信頼できるようにする方法はありますか?それを行うための適切な方法は何ですか?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

キーの管理
公開キーをisc.public.keyとしてダウンロードおよび保存し、次のコマンドを使用してインポートしました。

gpg –import isc.public.key

有効期限が設定されていると確信しているので、次の手順を実行します。

  1. 有効期限が切れるのを確認しますか?実際、GPGは、「gpg --verify」を実行したときに、インポートしたキーの有効期限がすでに切れていることを通知しますか?
  2. キーを更新します。この場合、キーを削除して再インポートする必要がありますか?

ありがとう!

gpg 
user192702
ソース
検証に関する限り、GPGチュートリアル、特に「信頼の網」という用語を調べる必要があります。2番目の質問についてman gpgは、非常に良いスタートになります。
マルキ14年
1
larsksが言ったように、良いセキュリティは難しいです。そして、これは合理的な詳細を伴う誠実な質問に応じて少し反転していますか?私が間違っている場合、私は間違いなくスマックダウンを受け取るでしょう、そして、私は118で私の総地位で「ステータス」の損失を買う余裕はありません;-}検索語の提案。
シンシアV

回答:

46

これを行うと、「このキーは信頼できる署名で認証されていません」というメッセージが表示されます。とにかくそれを信頼できるようにする方法はありますか?それを行うための適切な方法は何ですか?

「信頼できる署名」とは、信頼できるキーからの署名です。その理由は、(a)所属すると主張する人物に属していることを個人的に確認したか、(b)次のキーによって署名されているためです。おそらく一連の中間キーを通じて信頼します。

キーの信頼レベルを編集するには、「gpg --edit-key」を実行してからtrustコマンドを使用します。 GPGマニュアルのこのセクションでは、キーの信頼性について説明しています。一見の価値があります。優れたセキュリティは困難です。

「このキーは信頼できる署名で認証されていません」という警告は、基本的に「このことは誰でも署名できた可能性がある」という意味であることに注意してください。「Internet Systems Consortium、Inc.(Signing key、2013)」と主張するキーを作成し、それに署名することができます。GPGは、私が署名したものが私のキーで署名されたことを喜んで確認します。この問題を回避するには、おそらくWebサイトからISC GPGキーをダウンロードし、最終的にそれを信頼する(「このエンティティは自身を認証できると考えています」)か、最終的に信頼できる秘密キーで署名します。鍵の信頼を適切に管理しないと、署名の検証はほとんど演劇です。

有効期限が切れるのを確認しますか?

実行gpg -k <keyid>すると、指定されたキーの有効期限が切れたときに表示されます。たとえば、私は明日期限が切れるキーを作成し、gpg -k <keyid>私に与えます:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

サブキーの有効期限が明確にマークされていることがわかります。署名と暗号化に使用されるサブキーの有効期限は、主キーと異なる場合があることに注意してください。サブキーの詳細については、こちらをご覧ください

実際、GPGは、「gpg --verify」を実行したときに、インポートしたキーの有効期限がすでに切れていることを通知しますか?

はい、GPGは期限切れのキーについて通知します。これは必ずしも問題を表しているわけではないことに注意してください。署名は文書が署名されたときに有効でした。

キーを更新します。この場合、キーを削除して再インポートする必要がありますか?

キーサーバーを使用するようにGPG環境を設定し、定期的に実行する必要がありますgpg --refresh-keys。これにより、キーリング内のすべてのキーが、キーサーバーからの新しい情報で更新されます。

  • 新しい有効期限
  • キーの追加署名

個人または組織が新しいキーの使用を開始する場合、キーチェーンに追加するだけです。既存のキーを削除する必要はありません。

ラースク
ソース
1
有効期限フィールドがない場合はどうなりますか?
アーロンフランケ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.