web-dev-qa-db-ja.com

GnuPGの--list-sigs出力の意味は何ですか?

gpg --list-sigsは次のようなものを私に与えます(私は興味深い/異なる行を示すためにのみ出力を編集しました):

pub   2048R/4ACE309C 2016-11-01
uid                  lala_test2 <[email protected]>
sig 3        4ACE309C 2016-11-01  lala_test2 <[email protected]>
uid                  test_key <[email protected]>
sig 3        4ACE309C 2016-11-01  lala_test2 <[email protected]>
sub   2048R/EA9FDC87 2016-11-01
sig          4ACE309C 2016-11-01  lala_test2 <[email protected]>
sig 2        03A9DA1F 2014-02-11  [User ID not found]
sig 3        5B51CBCF 2011-10-25  [User ID not found]
sig 3        06B47049 2011-10-26  [User ID not found]
sig 3        00C85EF1 2011-10-31  [User ID not found]
sig 3        5A4BEDCE 2011-10-06  [User ID not found]
sig        1 F2648165 2011-10-07  [User ID not found]
sig       X  CA57AD7C 2005-07-31  [User ID not found]
sig       X  CA57AD7C 2005-08-01  [User ID not found]
sig 2     X  DC79FAC9 2003-09-26  [User ID not found]
sig          7EE2682F 2016-06-03  [User ID not found]
rev          7EE2682F 2016-06-03  [User ID not found]

最初の列のタグは以下を意味します:

  • pub->公開鍵
  • uid->ユーザーID
  • sig->署名、pubタグの下のキーを信頼していることを他の人が言っている
  • サブ->サブキー
  • rev->これは署名者によって鍵が取り消された署名ですか?

2048R-> 2048は鍵サイズであり、RSAの場合はRです。短いキーID、作成日もあり、最後の1つは利用可能な場合はユーザーIDです。

最初の列の後の1行の数字は何を意味していますか?

11
Lilás

認定レベル

認定にはさまざまなクラスがあります。引用 RFC 4880、OpenPGP、5.2.1。署名タイプ

[...]

0x10: Generic certification of a User ID and Public-Key packet.
   The issuer of this certification does not make any particular
   assertion as to how well the certifier has checked that the owner
   of the key is in fact the person described by the User ID.

0x11: Persona certification of a User ID and Public-Key packet.
   The issuer of this certification has not done any verification of
   the claim that the owner of this key is the User ID specified.

0x12: Casual certification of a User ID and Public-Key packet.
   The issuer of this certification has done some casual
   verification of the claim of identity.

0x13: Positive certification of a User ID and Public-Key packet.
   The issuer of this certification has done substantial
   verification of the claim of identity.

Most OpenPGP implementations make their "key signatures" as 0x10
certifications.  Some implementations can issue 0x11-0x13
certifications, but few differentiate between the types.

[...]

GnuPGは、「通常」の0x10署名をsigとして表示し、高度な署名を次の番号でさまざまな種類の認定レベルを区別します:0x11 as sig 10x12sig 2として、0x13sig 3として。 revは失効した署名を示します。

--list-sigsの出力は、GnuPGのマニュアルページ(man gpg)でも説明されています。

--list-sigs
    Same as --list-keys, but the signatures are listed too.  This command has the
    same effect as using --list-keys with --with-sig-list.

    For  each  signature listed, there are several flags in between the "sig" tag
    and keyid. These flags give additional information about each signature. From
    left  to  right,  they  are  the numbers 1-3 for certificate check level (see
    --ask-cert-level), "L" for a local or non-exportable signature (see  --lsign-
    key), "R" for a nonRevocable signature (see the --edit-key command "nrsign"),
    "P" for a signature that contains a policy URL (see  --cert-policy-url),  "N"
    for  a  signature  that contains a notation (see --cert-notation), "X" for an
    eXpired signature (see --ask-cert-expire), and the numbers 1-9 or "T" for  10
    and  above  to  indicate  trust  signature levels (see the --edit-key command
    "tsign").

曖昧

仕様のセクションの最初の段落にも注意してください。これは、認証レベルの一般的で厳密な定義がないことを示しています。

シグニチャにはいくつかの可能な意味があり、これらは特定のシグニチャのシグニチャタイプオクテットで示されます。これらの意味のあいまいさは欠陥ではなく、システムの機能であることに注意してください。 OpenPGPは、署名の受信者に有効性の最終的な権限を与えるため、ある署名者の偶発的な行為は、他の権限の積極的な行為よりも厳格である可能性があります。 [...]

このため、一部の人々は認証ポリシーを投稿します。 PGP鍵に署名するときに何を言っているのですか?

12
Jens Erat

Jens Eratの投稿の詳細を人間の言語で明確にしようとしています:_" " => 0x00 Generic certification: does not make any particular ownership assertion "1" => 0x11 Persona certification: has not done any ownership verification "2" => 0x12 Casual certification: has done some identity verification "3" => 0x13 Positive certification: has done substantial identity verification_

そして読みやすくするために:"L" for a Local or non-exportable signature (see --lsign- key) "R" for a non-Revocable signature (see --edit-key command "nrsign") "P" for a signature that contains a Policy URL (see --cert-policy-url) "N" for a signature that contains a Notation (see --cert-notation) "X" for an eXpired signature (see --ask-cert-expire) "T" or [1-9] indicate trust signature levels (see --edit-key command "tsign")

6
not2qubit