4

Я пытаюсь понять, как сделать следующее в одной команде.

У меня есть образ ISO вместе с файлом подписи * .sig. Я попытался проверить это через GnuPG 2, но он сообщил об отсутствии открытого ключа, который дал мне свой отпечаток. Я успешно получил ключ, используя следующие

gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>

но когда я проверил ключ

gpg2 --edit-key <KEY ID>

с последующим

gpg> check

Я получил это сообщение:

27 signatures not checked due to missing keys

Как я могу получить все эти ключи, чтобы убедиться, что полученный ключ является доверенным?

1 ответ1

3

Вы не пропускаете ключи для подписи ISO, но ключи, которые выдавали сертификаты на ключе, который подписал образ.

GnuPG не рекурсивно загружает другие ключи, вам придется делать это самостоятельно (например, запустив командную строку, подобную той, которую вы предложили в комментариях). Но имейте в виду, что сертификаты, предоставленные другими ключами, еще не подтверждают действительность ключа, очень просто создать целые сети ключей, которые даже имитируют реальную сеть доверия OpenPGP, как это было выполнено в атаке Evil 32 . Если вы хотите проверить какой-либо ключ путем проверки сертификатов, всегда создавайте путь доверия, который заканчивается вашим собственным ключом (или каким-либо другим ключом, который вы проверяли с помощью другого средства, например, путем встречи с человеком).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .