私はこのPGPの事は初めてです。これが私の質問です:検証
これを行うと、「このキーは信頼できる署名で認証されていません」というメッセージが表示されます。とにかく信頼してより良いものにする方法はありますか?それを行うための適切な方法は何ですか?
[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F 89EE 45AC 7857 189C DBC5
キーの管理
公開鍵をisc.public.keyとしてダウンロードして保存し、次のコマンドを使用してそれをインポートしました。
gpg –import isc.public.key
それに有効期限があると確信しているので、次の方法を実行します。
ありがとう!
これを行うと、「このキーは信頼できる署名で認証されていません」というメッセージが表示されます。とにかく信頼してより良いものにするための方法はありますか?それを行うための適切な方法は何ですか?
「信頼できる署名」とは、(a)自分が所属する人物に属していることを個人的に確認したか、(b)次の鍵で署名されているために、信頼できる鍵からの署名ですおそらく一連の中間キーを通じて信頼します。
「gpg --edit-key」を実行してからtrust
コマンドを使用することで、キーの信頼レベルを編集できます。 このセクション GPGマニュアルのキーの信頼について説明しています。これは一読の価値があります。優れたセキュリティは困難です。
「このキーは信頼できる署名で認証されていません」という警告は、基本的には「このものはだれでも署名できた可能性がある」という意味です。 「Internet Systems Consortium、Inc.(Signing key、2013)」に該当すると主張するキーを作成し、それに署名することができます。GPGは喜んで、はい、私が署名したものは自分のキーで署名されたことを確認します。この問題を回避するには、おそらく ウェブサイト からISC GPGキーをダウンロードし、最終的にそれを信頼するか(「このエンティティは自分自身を証明できると思います」)、または最終的に信頼される秘密キーで署名します。鍵の信頼を適切に管理しないと、署名の検証はほとんどの場合劇場で行われます。
いつ期限切れになるか確認してください。
gpg -k <keyid>
を実行すると、指定されたキーの有効期限が切れたときに表示されます。たとえば、明日有効期限が切れるキーを作成したところ、gpg -k <keyid>
で次のようになりました。
$ gpg -k 0xD4C2B757C3FAE256
pub 2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid [ultimate] Test User <[email protected]>
sub 2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]
サブキーの有効期限が明確にマークされていることがわかります。署名と暗号化に使用されるサブキーの有効期限は、主キーとは異なる場合があることに注意してください。サブキーの詳細については here を参照してください。
実際、GPGは、「gpg --verify」を実行したときに、インポートしたキーの有効期限が切れていることを通知しますか?
はい、GPGは期限切れのキーについて通知します。これは必ずしも問題を表すものではないことに注意してください。ドキュメントに署名したときに署名は有効でした。
キーを更新します。この場合、キーを削除して再インポートする必要がありますか?
キーサーバーを使用するようにGPG環境を構成し、定期的にgpg --refresh-keys
を実行する必要があります。これにより、キーリング内のすべてのキーがキーサーバーからの新しい情報で更新されます。
人または組織が新しいキーの使用を開始した場合、それをキーチェーンに追加するだけです。既存のキーを削除する必要はありません。