Як перевірити імпортований ключ GPG

Я новачок у цій справі PGP. Ось мої запитання: Перевірка
Коли я це роблю, мені видається повідомлення "Цей ключ не засвідчений надійним підписом". Чи все-таки можна зробити це надійним і кращим, але який правильний спосіб зробити це?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Керування ключем
Я завантажив і зберег відкритий ключ як isc.public.key та імпортував його за допомогою наступної команди:

gpg –import isc.public.key

Я впевнений, що на ньому є термін придатності, і як мені зробити наступне:

1. Дізнайтеся, коли термін його дії закінчується? Насправді GPG повідомляє мені, коли ключ, який я імпортував, вже минув, коли я роблю "gpg - підтвердити"?
2. Оновіть ключ. Чи потрібно видалити ключ і повторно імпортувати, коли це станеться?

Спасибі!

Коли я це роблю, мені видається повідомлення "Цей ключ не засвідчений надійним підписом". Чи все-таки можна зробити це надійним і кращим, але який правильний спосіб зробити це?

"Довірений підпис" - це підпис від ключа, якому ви довіряєте, або тому, що (a) ви особисто підтвердили, що він належить особі, якій він стверджує, що належить, або (b) тому, що він був підписаний ключем, який Ви довіряєте, можливо, через серію проміжних ключів.

Ви можете відредагувати рівень довіри клавіш, запустивши "gpg --edit-key" та використовуючи trustкоманду. У цьому розділі посібника з GPG обговорюється ключова довіра, і його варто прочитати: хороша безпека - це важко.

Зауважте, що попередження "Цей ключ не засвідчений довіреним підписом" в основному означає, "цю річ міг підписати хтось". Я можу створити ключ, який претендує на "Internet Systems Consortium, Inc. (ключ підпису, 2013)", і підписати його, і GPG з радістю підтвердить, що так, речі, які я підписав, були підписані моїм ключем. Щоб уникнути цієї проблеми, ви, мабуть, скачаєте ключ ISG GPG з веб-сайту і або довіритесь йому в кінцевому підсумку ("Я вважаю, що ця організація може підтвердити себе"), або підпишіть його своїм приватним ключем, який довіряється остаточно. Без належного управління ключовою довірою, перевірка підписів - це здебільшого театр.

Дізнайтеся, коли термін його дії закінчується?

Запуск gpg -k <keyid>покаже вам, коли термін дії даного ключа закінчиться. Наприклад, я створив ключ, який закінчується завтра, і gpg -k <keyid>дає мені:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Ви можете бачити, що терміни придатності в підрозділах чітко позначені. Зауважте, що підрозділи, які використовуються для підписання та шифрування, можуть мати різні терміни придатності від первинного ключа. Більше про підрозділи ви можете прочитати тут .

Насправді GPG повідомляє мені, коли ключ, який я імпортував, вже минув, коли я роблю "gpg - підтвердити"?

Так, GPG сповістить вас про ключ з минулим терміном дії. Зауважте, що це не обов'язково представляє проблему: підпис був дійсним під час підписання документа.

Оновіть ключ. Чи потрібно видалити ключ і повторно імпортувати, коли це станеться?

У вас має бути налаштоване середовище GPG для використання сервера ключів і періодично запускатися gpg --refresh-keys. Це дозволить оновити будь-які ключі у вашій брелоці новою інформацією від сервера програм, що може містити:

• нові терміни придатності
• додаткові підписи на ключі

Якщо людина чи організація починає використовувати новий ключ, ви просто додасте його у свій брелок - не потрібно буде видаляти наявний ключ.