Frage So überprüfen Sie einen importierten GPG-Schlüssel


Ich bin neu in dieser PGP-Sache. Hier sind meine Fragen: Nachprüfung
Wenn ich das mache, bekomme ich die Nachricht "Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert". Gibt es trotzdem, dass es vertrauenswürdig und besser ist, aber wie ist das der richtige Weg?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Schlüssel verwalten
Ich habe einen öffentlichen Schlüssel heruntergeladen und als isc.public.key gespeichert und ihn mit dem folgenden Befehl importiert:

gpg –import isc.public.key

Ich bin mir sicher, dass es ein Ablaufdatum gibt, also wie mache ich folgendes:

  1. Finden Sie heraus, wann es abläuft? In der Tat sagt mir GPG, wenn der Schlüssel, den ich importiert habe, bereits abgelaufen ist, wenn ich ein "gpg --verify" mache?
  2. Aktualisieren Sie den Schlüssel. Muss ich den Schlüssel löschen und neu importieren, wenn dies passiert?

Vielen Dank!


27
2018-01-26 01:32


Ursprung


Was die Verifizierung betrifft, sollten Sie ein GPG-Tutorial nachschlagen, insbesondere den Begriff "Web of Trust". Für die zweite Frage man gpg wäre ein sehr guter Anfang. - Marki
Wie Larsks sagte, ist gute Sicherheit schwer; und das ist ein kleiner flip als Antwort auf eine ernsthafte Frage mit vernünftigen Details, nein? Wenn ich falsch liege, bin ich sicher, dass ich einen Schlag bekommen werde, und ich kann mir keinen Verlust des "Status" mit meinem Gesamtstand von 118 Jahren leisten ;-) Das heißt, ich wähle dich für das "Netz des Vertrauens" Suchbegriff Vorschlag. - Sinthia V


Antworten:


Wenn ich das mache, bekomme ich die Nachricht "Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert". Gibt es trotzdem, dass es vertrauenswürdig und besser ist, aber wie ist das der richtige Weg?

Eine "vertrauenswürdige Signatur" ist eine Signatur aus einem Schlüssel, dem Sie vertrauen, entweder weil (a) Sie persönlich überprüft haben, dass sie zu der Person gehört, zu der sie gehört, oder (b) weil sie mit einem Schlüssel signiert wurde Sie vertrauen, möglicherweise durch eine Reihe von Zwischenschlüsseln.

Sie können die Vertrauensstufe von Schlüsseln bearbeiten, indem Sie "gpg - edit-key" ausführen und anschließend die trust Befehl. Diese Abteilung des GPG-Handbuchs diskutiert Schlüsselvertrauen, und es lohnt sich zu lesen: gute Sicherheit ist schwer.

Beachten Sie, dass die Warnung "Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert" bedeutet, dass "dieses Ding von irgendjemandem unterschrieben worden sein könnte". Ich kann einen Schlüssel erstellen, der angeblich "Internet Systems Consortium, Inc. (Signing Key, 2013)" ist, und die Dinge damit signieren, und GPG wird erfreut bestätigen, dass ja die Dinge, die ich unterschrieben habe, mit meinem Schlüssel signiert wurden. Um dieses Problem zu vermeiden, würden Sie vermutlich den ISC GPG-Schlüssel von herunterladen Die Webseite und vertraue ihm entweder ("Ich glaube, dass sich diese Entität zertifizieren kann") oder unterschreibe es mit deinem ultimativ vertrauenswürdigen privaten Schlüssel. Ohne eine angemessene Verwaltung des Schlüsselvertrauens ist die Überprüfung der Unterschrift hauptsächlich das Theater.

Finden Sie heraus, wann es abläuft?

Laufen gpg -k <keyid> zeigt Ihnen, wann ein bestimmter Schlüssel abläuft. Zum Beispiel habe ich einen Schlüssel erstellt, der morgen abläuft, und gpg -k <keyid> gibt mir:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Sie können sehen, dass die Ablaufdaten für Unterschlüssel deutlich markiert sind. Beachten Sie, dass Unterschlüssel, die zum Signieren und Verschlüsseln verwendet werden, möglicherweise andere Ablaufdaten als der Primärschlüssel haben. Sie können mehr über Unterschlüssel lesen Hier.

In der Tat sagt mir GPG, wenn der Schlüssel, den ich importiert habe, bereits abgelaufen ist, wenn ich ein "gpg --verify" mache?

Ja, GPG wird Sie über einen abgelaufenen Schlüssel informieren. Beachten Sie, dass dies nicht unbedingt ein Problem darstellt: Die Signatur war gültig, als das Dokument signiert wurde.

Aktualisieren Sie den Schlüssel. Muss ich den Schlüssel löschen und neu importieren, wenn dies passiert?

Sie sollten Ihre GPG-Umgebung für die Verwendung eines Schlüsselservers konfigurieren und regelmäßig ausführen gpg --refresh-keys. Dadurch werden alle Schlüssel in Ihrem Schlüsselbund mit neuen Informationen vom Schlüsselserver aktualisiert. Dazu gehören:

  • neue Ablaufdaten
  • zusätzliche Signaturen auf dem Schlüssel

Wenn eine Person oder Organisation beginnt, einen neuen Schlüssel zu verwenden, fügen Sie ihn einfach zu Ihrem Schlüsselbund hinzu - Sie müssen den vorhandenen Schlüssel nicht löschen.


39
2018-01-26 02:32