Je suis nouveau dans cette affaire PGP. Voici mes questions:
Vérification
Lorsque je le fais, le message suivant s'affiche: "Cette clé n'est pas certifiée avec une signature de confiance". Y a-t-il un moyen de le rendre digne de confiance et, mieux encore, quelle est la bonne façon de le faire?
[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F 89EE 45AC 7857 189C DBC5
Gestion de la clé
J'ai téléchargé et enregistré une clé publique sous le nom isc.public.key, puis je l'ai importée à l'aide de la commande suivante:
gpg –import isc.public.key
Je suis sûr qu'il y a une date d'expiration, alors comment puis-je procéder comme suit:
- Découvrez quand il expire? En fait, GPG me dit-il que la clé que j'ai importée a déjà expiré lorsque je fais une "vérification-gpg"?
- Mettre à jour la clé. Dois-je supprimer la clé et réimporter lorsque cela se produit?
Merci!
man gpgserait un très bon début.Réponses:
Une "signature de confiance" est une signature d'une clé en laquelle vous avez confiance, soit parce que (a) vous avez personnellement vérifié qu'elle appartient à la personne à qui elle prétend appartenir, ou (b) parce qu'elle a été signée par une clé vous faites confiance, éventuellement à travers une série de clés intermédiaires.
Vous pouvez modifier le niveau de confiance des clés en exécutant "gpg --edit-key", puis en utilisant la
trustcommande. Cette section du manuel de GPG traite de la confiance des clés et mérite une lecture: une bonne sécurité est difficile.Notez que l'avertissement "Cette clé n'est pas certifiée avec une signature de confiance" signifie essentiellement "cette chose aurait pu être signée par n'importe qui". Je peux créer une clé qui prétend être pour "Internet Systems Consortium, Inc. (clé de signature, 2013)", et signer des documents avec, et GPG confirmera avec plaisir que les éléments que j'ai signés ont été signés avec ma clé. Pour éviter ce problème, vous devriez probablement télécharger la clé ISC GPG à partir du site Web et lui faire confiance en dernier ressort ("Je pense que cette entité peut se certifier par elle-même") ou la signer avec votre clé privée qui a finalement été approuvée. Sans une gestion appropriée de la confiance des clés, la vérification de la signature est principalement une opération théâtrale.
Courir
gpg -k <keyid>vous montrera quand une clé donnée expire. Par exemple, j'ai créé une clé qui expire demain etgpg -k <keyid>me donne:Vous pouvez voir que les dates d'expiration des sous-clés sont clairement indiquées. Notez que les sous-clés utilisées pour la signature et le chiffrement peuvent avoir des dates d'expiration différentes de celles de la clé primaire. Vous pouvez en savoir plus sur les sous-clés ici .
Oui, GPG vous informera de l'expiration d'une clé. Notez que cela ne représente pas nécessairement un problème: la signature était valide au moment de la signature du document.
Votre environnement GPG doit être configuré pour utiliser un serveur de clés et être exécuté périodiquement
gpg --refresh-keys. Ceci mettra à jour toutes les clés de votre trousseau avec les nouvelles informations du serveur de clés, notamment:Si une personne ou une organisation commence à utiliser une nouvelle clé, il vous suffira de l’ajouter à votre trousseau. Vous n’auriez pas besoin de supprimer la clé existante.
la source