So überprüfen Sie einen importierten GPG-Schlüssel

34

Ich bin neu in dieser PGP-Sache. Hier sind meine Fragen: Überprüfung
Wenn ich dies tue, erhalte ich die Meldung "Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert". Gibt es irgendetwas, um es vertrauenswürdig und besser zu machen, und was ist der richtige Weg, dies zu tun?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Verwalten des Schlüssels
Ich habe einen öffentlichen Schlüssel als isc.public.key heruntergeladen und gespeichert und ihn mit dem folgenden Befehl importiert:

gpg –import isc.public.key

Ich bin sicher, dass es ein Ablaufdatum gibt. Wie mache ich das Folgende:

  1. Herausfinden, wann es abläuft? Tatsächlich teilt mir GPG mit, wann der von mir importierte Schlüssel bereits abgelaufen ist, wenn ich eine "gpg --verify" -Verifizierung durchführe.
  2. Aktualisieren Sie den Schlüssel. Muss ich den Schlüssel löschen und erneut importieren, wenn dies passiert?

Vielen Dank!

gpg 
user192702
quelle
Bezüglich der Überprüfung sollten Sie ein GPG-Tutorial nachschlagen, insbesondere den Begriff "Web of Trust". Für die zweite Frage man gpgwäre das ein sehr guter Anfang.
Marki
1
Wie Larsks sagte, ist gute Sicherheit schwer; und dies ist ein kleiner flip als antwort auf eine aufrichtige frage mit vernünftigen details, nein? Wenn ich mich irre, bekomme ich mit Sicherheit eine Katastrophe, und ich kann mir keinen Verlust an "Status" leisten, wenn meine Gesamtsumme bei 118 liegt. Suchbegriffvorschlag.
Sinthia V

Antworten:

46

Wenn ich das tue, erhalte ich die Meldung "Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert". Gibt es überhaupt eine Möglichkeit, es vertrauenswürdig und besser zu machen, und was ist der richtige Weg, dies zu tun?

Eine "vertrauenswürdige Signatur" ist eine Signatur eines Schlüssels, dem Sie vertrauen, entweder weil (a) Sie persönlich überprüft haben, dass er zu der Person gehört, zu der er zu gehören behauptet, oder (b) weil er mit einem Schlüssel signiert wurde, der Sie vertrauen, möglicherweise durch eine Reihe von Zwischentasten.

Sie können die Vertrauensstufe von Schlüsseln bearbeiten, indem Sie "gpg --edit-key" ausführen und dann den trustBefehl verwenden. In diesem Abschnitt des GPG-Handbuchs wird das Vertrauen der Schlüssel erörtert, und es lohnt sich zu lesen: Gute Sicherheit ist schwer.

Beachten Sie, dass die Warnung "Dieser Schlüssel ist nicht mit einer vertrauenswürdigen Signatur zertifiziert" im Grunde bedeutet, "diese Sache könnte von jedem signiert worden sein". Ich kann einen Schlüssel erstellen, der angeblich für "Internet Systems Consortium, Inc. (Signaturschlüssel, 2013)" steht, und Dinge damit signieren. GPG bestätigt dann gerne, dass die von mir signierten Dinge mit meinem Schlüssel signiert wurden. Um dieses Problem zu vermeiden, laden Sie den ISC GPG-Schlüssel vermutlich von der Website herunter und vertrauen ihm letztendlich ("Ich glaube, diese Entität kann sich selbst zertifizieren") oder signieren ihn mit Ihrem letztendlich vertrauenswürdigen privaten Schlüssel. Ohne eine ordnungsgemäße Verwaltung des Schlüsselvertrauens ist die Signaturüberprüfung größtenteils Theater.

Herausfinden, wann es abläuft?

Beim Ausführen gpg -k <keyid>wird angezeigt, wann ein bestimmter Schlüssel abläuft. Zum Beispiel habe ich einen Schlüssel erstellt, der morgen abläuft und gpg -k <keyid>mir Folgendes gibt:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Sie können sehen, dass die Ablaufdaten auf Unterschlüsseln deutlich gekennzeichnet sind. Beachten Sie, dass Unterschlüssel, die zum Signieren und Verschlüsseln verwendet werden, möglicherweise andere Ablaufdaten als der Primärschlüssel haben. Sie können mehr über Subkeys lesen hier .

Tatsächlich teilt mir GPG mit, wann der von mir importierte Schlüssel bereits abgelaufen ist, wenn ich eine "gpg --verify" -Verifizierung durchführe.

Ja, GPG benachrichtigt Sie über einen abgelaufenen Schlüssel. Beachten Sie, dass dies nicht unbedingt ein Problem darstellt: Die Signatur war gültig, als das Dokument signiert wurde.

Aktualisieren Sie den Schlüssel. Muss ich den Schlüssel löschen und erneut importieren, wenn dies passiert?

Sie sollten Ihre GPG-Umgebung für die Verwendung eines Keyservers konfiguriert haben und regelmäßig ausführen gpg --refresh-keys. Dadurch werden alle Schlüssel in Ihrem Schlüsselbund mit neuen Informationen vom Schlüsselserver aktualisiert, darunter:

  • neue Ablaufdaten
  • zusätzliche Unterschriften auf dem Schlüssel

Wenn eine Person oder Organisation einen neuen Schlüssel verwendet, fügen Sie ihn einfach zu Ihrem Schlüsselbund hinzu. Sie müssen den vorhandenen Schlüssel nicht löschen.

larsks
quelle
1
Was ist, wenn kein Ablauffeld vorhanden ist?
Aaron Franke
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.