ダウンロードしたファイルをgpgで確認する
私はここでダウンロードされたファイルを確認するための指示に従っています:
http://www.pps.univ-paris-diderot.fr/~jch/software/pgp-validating.html
署名キーのローカルコピーを取得する
確認するキーのキーIDを知っている必要があります。 ASDF-Installを使用している場合、ASDF-Installは不明なキーについて警告し、IDを通知します。それ以外の場合は、tarballと署名ファイルの両方をダウンロードし、署名ファイルをGnuPGに渡します。
gpg cl-yacc-0.2.tar.gz.asc GnuPG will complain about an unknown key, and tell you the ID. At that point, do gpg --recv id to download a local copy of the key.
ダウンロードしたファイルを確認しようとしています:
libevent-2.0.22-stable.tar.gz
そして、私はこの署名ファイルを持っています:
libevent-2.0.22-stable.tar.gz.asc
上記の手順に従って、これは私が得たものです:
~/Downloads$ gpg libevent-2.0.22-stable.tar.gz.asc
gpg: assuming signed data in 'libevent-2.0.22-stable.tar.gz'
gpg: Signature made Mon Jan 5 08:16:20 2015 MST using RSA key ID 8D29319A
gpg: Good signature from "Nick Mathewson <[email protected]>" [unknown]
gpg: aka "Nick Mathewson <[email protected]>" [unknown]
gpg: aka "Nick Mathewson <[email protected]>" [unknown]
gpg: aka "[jpeg image of size 3369]" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EA
Subkey fingerprint: EF00 F369 1387 FCC5 8CD6 8E13 9103 97D8 8D29 319A
~/Downloads$ gpg --recv 8D29319A
gpg: requesting key 8D29319A from hkps server hkps.pool.sks-keyservers.net
gpg: key 165733EA: "Nick Mathewson <[email protected]>" not changed
gpg: Total number processed: 1
gpg: unchanged: 1
次に、それは言う:
独立したソースからキーを確認する
次に、独立したソースからの鍵を確認する必要があります。つまり、署名ファイルも鍵サーバーも確認しません。
キーの詳細をご覧ください
興味のあるキーのIDを準備したら、 お気に入りのキーサーバーインターフェイス でキーを確認します(「詳細なインデックス」を選択します)。鍵に署名した人のuid(電子メールアドレス)と、その鍵に署名した人のすべてが見つかります。
私の知る限り、関心のあるキーのIDで武装したというフレーズは、次のことを指します:8D29319A。いずれにしても、そのリンクされたキーサーバーインターフェイスにすべての番号、フィンガープリント、ASCIIアーマード公開キーを入力してみたところ、例外が発生しました。
何が悪いのですか?
$ gpg --version
gpg (GnuPG/MacGPG2) 2.0.28
libgcrypt 1.6.3
Copyright (C) 2015 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Home: ~/.gnupg
Supported algorithms:
Pubkey: RSA, RSA, RSA, ELG, DSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, Zip, ZLIB, BZIP2
$
あなたは何も悪いことをしませんでした。署名は正しいですが、GnuPGは鍵の有効性を検証できなかったため、署名は有効と見なされません。言い換えると、GnuPGは、署名が完全に有効なキーによって発行されている間、anybodyによってキーが発行された可能性があることを説明します(キーを作成できます任意のメールアドレス、それらを検証する中央インスタンスはありません。特に、キーサーバーは行いません!)。
現在、2つのオプションがあります。
- あなたは試すことができます 信頼の網を通じてキーを検証します (これは、すでに信頼しているキーから作者のキーへの「信頼パス」を見つけることを意味し、「未確認」メッセージも削除します)または
他のいくつかの方法で検証します。たとえば、指紋または少なくとも長いキーIDを別の信頼できるソースと比較します( 短いキーIDは安全ではありません 、そのため キーの検証には使用しないでください) )。これは基本的に、別の信頼できるソースがあることを意味します(基本的な検証は、少なくともHTTPsを使用した暗号化接続を介して受信される場合、キーID /フィンガープリントをリストする製品のWebサイトを介して行われます)、署名に使用される公開鍵のGnuPGの出力:
Primary key fingerprint: B35B F85B F194 89D0 4E28 C33C 2119 4EBB 1657 33EA(長いキーIDは最後の16文字に相当します
21194EBB165733EA、短いIDは最後の8文字です165733EA)。
実際の質問への簡単な答え:検索文字列で16進表記を使用します。
あなたの考えは正しかったようです。
私の知る限りでは、関心のあるキーのIDで武装したフレーズは、8D29319Aを参照しています。
検索ボックスで0x8D29319Aを使用して、リンクされたサイトまたは別のキーサーバーインターフェイスでそのIDを検索する必要があります。他の人がそうしているにもかかわらず、そのサイトはそれを言っていません、そしてあなたが従った指示はそれを指定しませんでした。キーを取得するためにgpgがアクセスしたサイトにはWebベースのインターフェイスがあり、IDでキーを検索するときに16進表記を使用すると表示されています。
ところで:明白な、または可能な場合でも、16進数値で作業するときはいつでも; 1つの方法が機能しない場合は、数字の前に「0x」を付けて、もう一度テストしてください。
次のステップは、従った指示に従って、独立したソースからキーを確認することです。リンクされたキーサーバーから情報を取得する背後にある考え方は、問題の証明書の他の署名者を見つけ、信頼できる人から新しいキーを信頼する人への信頼の道を見つけることです。鍵の署名者との「帯域外」の連絡を試みて、それを確認できないこと。 (もちろん、面と向かってbestの方法です。どこまで確認する必要がありますかそのキーはあなたの判断次第であり、あなたの状況のセキュリティニーズです。
あなたの努力における明るい祝福。