gpgが動揺しているのはなぜですか?


24

私は最近、Ubuntuのあるインストールから別のインストールに移行し、その過程でユーザー名を変更しました。公開鍵と秘密鍵のペアをgpgにインポートし、(秘密鍵を使用して)復号化が正常に機能している間、公開鍵で何かを暗号化しようとすると、次の警告メッセージが表示されます。

It is NOT certain that the key belongs to the person named
in the user ID.  If you *really* know what you are doing,
you may answer the next question with yes.

その後、キーを本当に使用するかどうかを尋ねられます(キーリングのキーは実際に唯一のものであり、どこから来たのかがわかっているため、常に「はい」と答えます)。うまく解読できますが、何かを暗号化しようとするとgpgがヒッシーフィットをスローするのはなぜですか?また、このメッセージが再び表示されないようにするにはどうすればよいですか?


stackoverflowでこの古い質問への回答のいずれかが役立ちますか?:stackoverflow.com/q/9460140/2422988
ポール

@Paul、はい、そのリンクは少し役立ちました。私は自分のキーの「信頼」レベルを究極に設定しましたが、それは問題を解決したようです。しかし、問題でしたか?なぜこれが起こったのですか、それを修正したのですか、それとも症状を緩和したのですか?
fouric

InkBlend、申し訳ありませんが、この場合、検索結果を選別して比較する能力はpgpの知識を超えているため、これを回答として主張することはできません。しかし、ギャレットは何が起こっているのか知っているようです。
ポール

回答:


16

私はあなたが経験している問題を再現することができました。私は次のことをしました:

$ gpg --no-default-keyring --keyring ./test-keyring  --secret-keyring ./test-secring --trustdb-name ./test-trustdb --no-random-seed-file --gen-key

<specified parameters and let it do its thing>

gpg: key 58018BFE marked as ultimately trusted
public and secret key created and signed.

<snip>

$

プロセスがキーを「最終的に信頼できる」とマークしたことに注意してください。

次に、キーをエクスポートします。

$gpg --no-default-keyring --keyring ./test-keyring  --secret-keyring ./test-secring --trustdb-name ./test-trustdb --no-random-seed-file --export-secret-keys -a >private.key

$gpg --no-default-keyring --keyring ./test-keyring  --secret-keyring ./test-secring --trustdb-name ./test-trustdb --no-random-seed-file --export -a > public.key

次に、新しいgpgデータベースにインポートします。

$gpg --no-default-keyring --keyring ./test2-keyring  --secret-keyring ./test2-secring --trustdb-name ./test2-trustdb --no-random-seed-file --import public.key

$gpg --no-default-keyring --keyring ./test2-keyring  --secret-keyring ./test2-secring --trustdb-name ./test2-trustdb --no-random-seed-file --import private.key

新しいキーリングを使用して暗号化しようとすると、次のようになります:

$ gpg --no-default-keyring --keyring ./test2-keyring  --secret-keyring ./test2-secring --trustdb-name ./test2-trustdb --no-random-seed-file -r Fake -e
gpg: AE3034E1: There is no assurance this key belongs to the named user

pub  1024R/AE3034E1 2013-06-13 Fake User <fake@example.com>
 Primary key fingerprint: AD4D BAFB 3960 6F9D 47C1  23BE B2E1 67A6 5801 8BFE
      Subkey fingerprint: 58F2 3669 B8BD 1DFC 8B12  096F 5D19 AB91 AE30 34E1

It is NOT certain that the key belongs to the person named
in the user ID.  If you *really* know what you are doing,
you may answer the next question with yes.

この理由は、「信頼の網」モデルです。デフォルトでは、公開鍵を信頼するには、1つの「究極の」信頼証明書(通常、関係者の身元を個人的に確認した場所)、または3つの「限界」信頼証明書(あなたが知っている誰か、あなたが知っている誰かを知っている人は...証明書に署名しました)。

gpgはセキュリティアプリケーションであるため、信頼できると表示されていないキーに暗号化しようとすると警告が表示されます。この場合、独自のキーが信頼されない理由は簡単です。これは、以前のgpgインスタンスから信頼関係をエクスポートしなかったためです。これを行うには、-export-ownertrustおよび--import-ownertrustコマンドを使用します。

いつものように、マニュアルページを参照してください


1
重要なことは、キーの信頼に関するすべてのデータがキーリング(秘密および公開の両方)とは別に保存されることです!~/.gnupg/trustdb.gpg信頼データベース、pubring.gpg公開鍵、およびsecring.gpg秘密鍵を保持します。これに関するGnuPGのドキュメントを参照しください。
gertvdijk

28

同じ問題に遭遇しましたが、古いキーにアクセスできなくなりました。したがって、次のようにして古いキーの信頼を再作成できます。

gpg --edit-key YOUR@KEY.ID
gpg> trust
Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately
  m = back to the main menu

Your decision? 5
Do you really want to set this key to ultimate trust? (y/N) y

OPはこれを行いました(コメントに記されています)が、回答として述べておくと良いでしょう。
ムル

7

--always-trustフラグを使用して、このメッセージをスキップできます。


1
これは絶対に真実ですが、それは単に病気を取り除くのではなく、症状を取り除くことです。あなたの解決策は、あなたが癌にかかっているのでアスピリンを服用するようなものです
...-Fabby

2
--always-trust場合によっては良い解決策ですが、問題のキーが実際にユーザー自身のキーである場合は、最終的な信頼を与える必要があります。
ブラックライトシャイニング

4
私の病気は、キーリングがプログラムによるファイル暗号化を妨害するというGPGの頑固な主張であり、ソフトウェアをインストールするすべてのVMで異なる方法でそうします。
-bbozo

@BlacklightShiningおよびまだ確認できなかった場合、Evolutionはそのアドレスへのメールの暗号化を許可しません。テキストを誰かに暗号化するために絶対的な信頼が必要理由はわかりません。わずかな信頼だけでは不可能です。
イジー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.