Alınan bir GPG anahtarının doğrulanması

Bu PGP olayında yeniyim. İşte sorularım: Doğrulama
Bunu yaptığımda, "Bu anahtar güvenilir bir imza ile onaylanmadı" mesajını alıyorum. Yine de güvenilir ve daha iyi hale getirmek için yine de var mı, bunun için doğru yolu nedir?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Anahtar Yönetme: Genel
bir anahtarı isc.public.key olarak indirip kaydettim ve aşağıdaki komutu kullanarak aldım:

gpg –import isc.public.key

Son kullanma tarihi olduğundan eminim, aşağıdakileri nasıl yaparım?

1. Ne zaman biteceğini öğrenmek? Aslında GPG bana "gpg --verify" yaptığımda içeri aktardığım anahtarın kullanım süresinin dolduğunu söyledi mi?
2. Anahtarı güncelle. Bu durumda anahtarı silmeli ve yeniden içe aktarmalı mıyım?

Teşekkürler!

Bunu yaptığımda, "Bu anahtar güvenilir bir imza ile onaylanmadı" mesajı verildi. Bunu daha güvenilir ve daha iyi hale getirmek için yine de var mı, ancak bunu yapmanın doğru yolu nedir?

"Güvenilir imza", güvendiğiniz bir anahtarın imzasıdır, çünkü (a) şahsen ait olduğunu iddia ettiği kişiye ait olduğunu kişisel olarak doğruladığınızdan veya (b) bir anahtar tarafından imzalandığından Muhtemelen bir dizi ara anahtarla güvenebilirsiniz.

"Gpg --edit-key" trustkomutunu çalıştırarak ve ardından komutu kullanarak, tuşların güven düzeyini düzenleyebilirsiniz . GPG kılavuzunun bu bölümü temel güveni ele alıyor ve okunmaya değer: iyi güvenlik zordur.

"Bu anahtar güvenilir bir imza ile onaylanmadı" uyarısının "temelde" bu kişi tarafından imzalanmış olabilir "anlamına geldiğini unutmayın. "Internet Systems Consortium, Inc. (İmzalama anahtarı, 2013)" için olduğunu iddia eden bir anahtar oluşturabilir ve onunla bir şeyler imzalayabilirim ve GPG, imzaladığım şeylerin benim anahtarımla imzalandığını memnuniyetle onaylayacaktır. Bu sorunu önlemek için, büyük olasılıkla ISC GPG anahtarını web sitesinden indirebilir ve nihayetinde güvenebilirsiniz ("Bu kuruluşun kendisini doğrulayabileceğine inanıyorum") veya sonuçta güvenilir özel anahtarınızla imzalarsınız. Anahtar güvenin uygun yönetimi olmadan, imza doğrulaması çoğunlukla tiyatrodur.

Ne zaman biteceğini öğrenmek?

gpg -k <keyid>Belirli bir anahtarın süresi dolduğunda çalışan size gösterecektir. Örneğin, yarın sona erecek bir anahtar oluşturdum ve gpg -k <keyid>bana şöyle verdi:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Alt anahtarlardaki son kullanma tarihlerinin açıkça işaretlendiğini görebilirsiniz. İmzalama ve şifreleme için kullanılan alt anahtarların, birincil anahtardan farklı son kullanma tarihlerine sahip olabileceğini unutmayın. Sen alt anahtarlar hakkında daha fazla bilgi bulabilirsiniz burada .

Aslında GPG bana "gpg --verify" yaptığımda içeri aktardığım anahtarın kullanım süresinin dolduğunu söyledi mi?

Evet, GPG süresi dolmuş bir anahtar hakkında sizi bilgilendirir. Bunun mutlaka bir sorunu temsil etmediğini unutmayın: İmza, belge imzalandığında geçerlidir.

Anahtarı güncelle. Bu durumda anahtarı silmeli ve yeniden içe aktarmalı mıyım?

Bir keyserver kullanmak için yapılandırılmış ve periyodik olarak çalıştırılacak GPG ortamınız olmalıdır gpg --refresh-keys. Bu, anahtarlığınızdaki herhangi bir anahtarı, aşağıdakileri içerebilir:

• yeni son kullanma tarihleri
• anahtara ek imzalar

Bir kişi veya kuruluş yeni bir anahtar kullanmaya başlarsa, anahtarlığınıza eklemeniz yeterli olacaktır - mevcut anahtarı silmeniz gerekmez.