it-swarm.com.de

So überprüfen Sie einen importierten GPG-Schlüssel

Ich bin neu in dieser PGP-Sache. Hier sind meine Fragen: Verifikation
Wenn ich dies tue, erhalte ich die Meldung "Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert". Gibt es überhaupt eine Möglichkeit, es vertrauenswürdig und besser zu machen, und wie kann man das richtig machen?

[[email protected] /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Verwaltungsschlüssel
Ich habe einen öffentlichen Schlüssel als isc.public.key heruntergeladen, gespeichert und mit dem folgenden Befehl importiert:

gpg –import isc.public.key

Ich bin mir sicher, dass ein Ablaufdatum angegeben ist. Wie mache ich Folgendes:

  1. Finden Sie heraus, wann es abläuft? Tatsächlich sagt mir GPG, wann der von mir importierte Schlüssel bereits abgelaufen ist, wenn ich ein "gpg --verify" mache?
  2. Aktualisieren Sie den Schlüssel. Muss ich den Schlüssel löschen und in diesem Fall erneut importieren?

Vielen Dank!

36
user192702

Wenn ich dies tue, erhalte ich die Meldung "Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert". Gibt es überhaupt eine Möglichkeit, es vertrauenswürdig und besser zu machen, aber wie kann man das richtig machen?

Eine "vertrauenswürdige Signatur" ist eine Signatur eines Schlüssels, dem Sie vertrauen, entweder weil (a) Sie persönlich überprüft haben, dass er der Person gehört, zu der er gehört, oder (b) weil er mit einem Schlüssel signiert wurde, der Sie vertrauen, möglicherweise durch eine Reihe von Zwischenschlüsseln.

Sie können die Vertrauensstufe von Schlüsseln bearbeiten, indem Sie "gpg --edit-key" ausführen und dann den Befehl trust verwenden. Dieser Abschnitt des GPG-Handbuchs beschreibt das Schlüsselvertrauen und es lohnt sich zu lesen: Gute Sicherheit ist schwer.

Beachten Sie, dass die Warnung "Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert" im Grunde bedeutet, "dieses Ding könnte von jedem signiert worden sein". Ich kann einen Schlüssel erstellen, der behauptet, für "Internet Systems Consortium, Inc. (Signing Key, 2013)" zu sein, und Dinge damit signieren, und GPG wird gerne bestätigen, dass die von mir signierten Dinge mit meinem Schlüssel signiert wurden. Um dieses Problem zu vermeiden, würden Sie vermutlich den ISC-GPG-Schlüssel von der Website herunterladen und ihm entweder letztendlich vertrauen ("Ich glaube, diese Entität kann sich selbst zertifizieren") oder ihn mit Ihrem letztendlich vertrauenswürdigen privaten Schlüssel signieren. Ohne eine ordnungsgemäße Verwaltung des Schlüsselvertrauens erfolgt die Überprüfung der Signatur hauptsächlich im Theater.

Finden Sie heraus, wann es abläuft?

Wenn Sie gpg -k <keyid> Ausführen, wird angezeigt, wann ein bestimmter Schlüssel abläuft. Zum Beispiel habe ich einen Schlüssel erstellt, der morgen abläuft, und gpg -k <keyid> Gibt mir:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <[email protected]>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Sie können sehen, dass die Ablaufdaten auf Unterschlüsseln deutlich gekennzeichnet sind. Beachten Sie, dass Unterschlüssel, die zum Signieren und Verschlüsseln verwendet werden, möglicherweise andere Ablaufdaten als der Primärschlüssel haben. Sie können mehr über Unterschlüssel lesen hier .

Tatsächlich sagt mir GPG, wann der Schlüssel, den ich importiert habe, bereits abgelaufen ist, wenn ich ein "gpg --verify" mache?

Ja, GPG benachrichtigt Sie über einen abgelaufenen Schlüssel. Beachten Sie, dass dies nicht unbedingt ein Problem darstellt: Die Signatur war gültig, als das Dokument signiert wurde.

Aktualisieren Sie den Schlüssel. Muss ich den Schlüssel löschen und in diesem Fall erneut importieren?

Sie sollten Ihre GPG-Umgebung für die Verwendung eines Schlüsselservers konfiguriert haben und regelmäßig gpg --refresh-keys Ausführen. Dadurch werden alle Schlüssel in Ihrem Schlüsselbund mit neuen Informationen vom Schlüsselserver aktualisiert, darunter:

  • neue Ablaufdaten
  • zusätzliche Signaturen auf dem Schlüssel

Wenn eine Person oder Organisation einen neuen Schlüssel verwendet, fügen Sie ihn einfach Ihrem Schlüsselbund hinzu - Sie müssen den vorhandenen Schlüssel nicht löschen.

47
larsks