Soy nuevo en esto de PGP. Estas son mis preguntas:
Verificación
Cuando hago esto, aparece el mensaje "Esta clave no está certificada con una firma de confianza". ¿Hay alguna forma de hacerlo confiable y mejor? ¿Cuál es la forma correcta de hacerlo?
[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F 89EE 45AC 7857 189C DBC5
Administración de la clave
Descargué y guardé una clave pública como isc.public.key, y la importé usando el siguiente comando:
gpg –import isc.public.key
Estoy seguro de que hay una fecha de vencimiento, así que, ¿cómo hago lo siguiente?
- Averigüe cuándo caduca? De hecho, ¿GPG me dice cuándo la clave que he importado ya ha expirado cuando hago un "gpg --verify"?
- Actualiza la clave. ¿Tengo que eliminar la clave y volver a importar cuando esto sucede?
¡Gracias!
man gpg
sería un muy buen comienzo.Respuestas:
Una "firma de confianza" es una firma de una clave en la que confía, ya sea porque (a) ha verificado personalmente que pertenece a la persona a la que dice pertenecer, o (b) porque ha sido firmada por una clave que confía, posiblemente a través de una serie de claves intermedias.
Puede editar el nivel de confianza de las claves ejecutando "gpg --edit-key" y luego utilizando el
trust
comando. Esta sección del manual GPG discute la confianza clave, y vale la pena leerla: una buena seguridad es difícil.Tenga en cuenta que la advertencia "Esta clave no está certificada con una firma confiable" básicamente significa que "esta cosa podría haber sido firmada por cualquiera". Puedo crear una clave que dice ser para "Internet Systems Consortium, Inc. (Clave de firma, 2013)", y firmar cosas con ella, y GPG confirmará felizmente que sí, las cosas que firmé se firmaron con mi clave. Para evitar este problema, presumiblemente descargaría la clave ISG GPG del sitio web y confiaría en ella ("Creo que esta entidad puede certificarse a sí misma") o la firmará con su clave privada de confianza. Sin una gestión adecuada de la confianza clave, la verificación de firma es principalmente teatro.
La ejecución
gpg -k <keyid>
le mostrará cuándo caduca una clave determinada. Por ejemplo, creé una clave que caduca mañana ygpg -k <keyid>
me da:Puede ver que las fechas de vencimiento de las subclaves están claramente marcadas. Tenga en cuenta que las subclaves utilizadas para la firma y el cifrado pueden tener fechas de caducidad diferentes de la clave principal. Puedes leer más sobre las subclaves aquí .
Sí, GPG le notificará sobre una clave caducada. Tenga en cuenta que esto no representa necesariamente un problema: la firma era válida cuando se firmó el documento.
Debe tener su entorno GPG configurado para usar un servidor de claves y ejecutarlo periódicamente
gpg --refresh-keys
. Esto actualizará cualquier clave en su llavero con nueva información del servidor de claves, que puede incluir:Si una persona u organización comienza a usar una nueva clave, simplemente la agregará a su llavero, no necesitará eliminar la clave existente.
fuente