가져온 GPG 키를 확인하는 방법


34

이 PGP에 익숙하지 않습니다. 내 질문은 다음과 같습니다. 확인이
작업을 수행 할 때 "이 키는 신뢰할 수있는 서명으로 인증되지 않았습니다"라는 메시지가 표시됩니다. 어쨌든 그것을 신뢰할 수 있고 더 잘 만들 수있는 방법이 있습니까?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

키 관리
공개 키를 isc.public.key로 다운로드하여 저장 한 후 다음 명령을 사용하여 가져 왔습니다.

gpg –import isc.public.key

만료 날짜가 있다고 확신하므로 다음을 어떻게 수행합니까?

  1. 만료 시점을 찾으십니까? 실제로 "gpg --verify"를 수행 할 때 가져온 키가 이미 만료 된시기를 GPG가 알려줍니까?
  2. 키를 업데이트하십시오. 이 경우 키를 삭제하고 다시 가져와야합니까?

감사!


검증과 관련하여 GPG 튜토리얼, 특히 '신뢰의 웹'이라는 용어를 찾아야합니다. 두 번째 질문 man gpg은 아주 좋은 시작이 될 것입니다.
Marki

1
Larsks가 말했듯이 좋은 보안은 어렵습니다. 그리고 이것은 합리적인 세부 사항을 가진 진지한 질문에 대한 대답으로 약간 뒤집어졌습니다. 내가 틀렸다면 나는 스맥 다운을받을 것이라고 확신하고 118에 총계로 "상태"의 손실을 감당할 수 없다. 검색어 제안.
Sinthia V

답변:


46

이렇게하면 "이 키는 신뢰할 수있는 서명으로 인증되지 않았습니다"라는 메시지가 나타납니다. 어쨌든 그것을 신뢰할 수 있고 더 잘 만들 수있는 방법이 있습니까?

"신뢰할 수있는 서명"은 (a) 자신이 소유하고 있다고 주장하는 사람의 소유임을 개인적으로 확인했거나 (b) 서명 한 키에 의해 서명 되었기 때문에 신뢰하는 키의 서명입니다. 아마도 일련의 중간 키를 통해 신뢰할 수 있습니다.

"gpg --edit-key"를 실행 한 다음 trust명령 을 사용하여 키의 신뢰 수준을 편집 할 수 있습니다 . GPG 매뉴얼 의이 섹션 에서는 주요 신뢰에 대해 설명하고 읽을 가치가 있습니다. 좋은 보안은 어렵습니다.

"이 키는 신뢰할 수있는 서명으로 인증되지 않았습니다"라는 경고는 기본적으로 "이 것은 누구나 서명 할 수 있음"을 의미합니다. "Internet Systems Consortium, Inc. (서명 키, 2013)"에 해당하는 키를 만들어서 서명하면 GPG에서 서명 한 것이 내 키로 서명되었음을 확인합니다. 이 문제를 피하려면 아마도 웹 사이트 에서 ISC GPG 키를 다운로드하여 궁극적으로 신뢰하거나 ( "이 엔티티가 자체를 인증 할 수 있다고 생각합니다") 궁극적으로 신뢰할 수있는 개인 키로 서명해야합니다. 키 트러스트를 제대로 관리하지 않으면 서명 확인이 대부분 극장입니다.

만료 시점을 찾으십니까?

gpg -k <keyid>주어진 키가 만료되면 Running 이 표시됩니다. 예를 들어, 나는 내일 만료되어 키를 gpg -k <keyid>제공했습니다.

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

하위 키의 만료 날짜가 명확하게 표시되어 있음을 알 수 있습니다. 서명 및 암호화에 사용 된 하위 키는 기본 키와 만료 날짜가 다를 수 있습니다. 하위 키에 대한 자세한 내용은 여기를 참조 하십시오 .

실제로 "gpg --verify"를 수행 할 때 가져온 키가 이미 만료 된시기를 GPG가 알려줍니까?

예, GPG에서 만료 된 키를 알려줍니다. 이것이 반드시 문제를 나타내는 것은 아닙니다. 서명은 문서에 서명 할 때 유효했습니다.

키를 업데이트하십시오. 이 경우 키를 삭제하고 다시 가져와야합니까?

키 서버를 사용하도록 GPG 환경을 구성하고 주기적으로 실행해야합니다 gpg --refresh-keys. 그러면 키링의 모든 키가 키 서버의 새로운 정보로 업데이트되며 여기에는 다음이 포함됩니다.

  • 새로운 만기일
  • 키의 추가 서명

개인 또는 조직이 새 키를 사용하기 시작하면 키 체인에 키를 추가하기 만하면 기존 키를 삭제할 필요가 없습니다.


1
만료 필드가 없으면 어떻게합니까?
Aaron Franke
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.