web-dev-qa-db-ja.com

インポートされたGPGキーを確認する方法

私はこのPGPの事は初めてです。これが私の質問です:検証
これを行うと、「このキーは信頼できる署名で認証されていません」というメッセージが表示されます。とにかく信頼してより良いものにする方法はありますか?それを行うための適切な方法は何ですか?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

キーの管理
公開鍵をisc.public.keyとしてダウンロードして保存し、次のコマンドを使用してそれをインポートしました。

gpg –import isc.public.key

それに有効期限があると確信しているので、次の方法を実行します。

  1. それがいつ期限切れになるかを調べますか?実際、「gpg --verify」を実行すると、インポートしたキーの有効期限が切れたときにGPGから通知されますか?
  2. キーを更新します。これが発生した場合、キーを削除して再インポートする必要がありますか?

ありがとう!

36
user192702

これを行うと、「このキーは信頼できる署名で認証されていません」というメッセージが表示されます。とにかく信頼してより良いものにするための方法はありますか?それを行うための適切な方法は何ですか?

「信頼できる署名」とは、(a)自分が所属する人物に属していることを個人的に確認したか、(b)次の鍵で署名されているために、信頼できる鍵からの署名ですおそらく一連の中間キーを通じて信頼します。

「gpg --edit-key」を実行してからtrustコマンドを使用することで、キーの信頼レベルを編集できます。 このセクション GPGマニュアルのキーの信頼について説明しています。これは一読の価値があります。優れたセキュリティは困難です。

「このキーは信頼できる署名で認証されていません」という警告は、基本的には「このものはだれでも署名できた可能性がある」という意味です。 「Internet Systems Consortium、Inc.(Signing key、2013)」に該当すると主張するキーを作成し、それに署名することができます。GPGは喜んで、はい、私が署名したものは自分のキーで署名されたことを確認します。この問題を回避するには、おそらく ウェブサイト からISC GPGキーをダウンロードし、最終的にそれを信頼するか(「このエンティティは自分自身を証明できると思います」)、または最終的に信頼される秘密キーで署名します。鍵の信頼を適切に管理しないと、署名の検証はほとんどの場合劇場で行われます。

いつ期限切れになるか確認してください。

gpg -k <keyid>を実行すると、指定されたキーの有効期限が切れたときに表示されます。たとえば、明日有効期限が切れるキーを作成したところ、gpg -k <keyid>で次のようになりました。

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <[email protected]>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

サブキーの有効期限が明確にマークされていることがわかります。署名と暗号化に使用されるサブキーの有効期限は、主キーとは異なる場合があることに注意してください。サブキーの詳細については here を参照してください。

実際、GPGは、「gpg --verify」を実行したときに、インポートしたキーの有効期限が切れていることを通知しますか?

はい、GPGは期限切れのキーについて通知します。これは必ずしも問題を表すものではないことに注意してください。ドキュメントに署名したときに署名は有効でした。

キーを更新します。この場合、キーを削除して再インポートする必要がありますか?

キーサーバーを使用するようにGPG環境を構成し、定期的にgpg --refresh-keysを実行する必要があります。これにより、キーリング内のすべてのキーがキーサーバーからの新しい情報で更新されます。

  • 新しい有効期限
  • 鍵に追加の署名

人または組織が新しいキーの使用を開始した場合、それをキーチェーンに追加するだけです。既存のキーを削除する必要はありません。

47
larsks