Die Nachricht erklärt, dass GnuPG den Besitz des Schlüssels nicht überprüfen konnte. Jeder kann Schlüssel für beliebige Namen und E-Mail-Adressen generieren (suchen Sie einfach nach den Schlüsselservern president@whitehouse.gov
).
Eine sehr "OpenPGP" - Methode wäre die Überprüfung des Schlüssels durch das OpenPGP - Web of Trust. Hauptbenutzer von OpenPGP überprüfen die Identität anderer Personen und bestätigen diese Verifizierung, indem sie Zertifizierungen für die Schlüssel der anderen ausstellen. Dies bildet ein Netzwerk von verbundenen Schlüsseln mit einem sogenannten Vertrauenspfad zwischen zwei beliebigen Schlüsseln im Netzwerk. Wenn Sie sich auch daran beteiligen und den Personen auf dem Vertrauenspfad vertrauen, haben Sie den Besitz des Schlüssels erfolgreich überprüft. GnuPG unterstützt dies durch Zertifizierungen (oft auch als Signaturen bezeichnet) und durch Vertrauensstellung. Wenn Sie einen Schlüssel über Ihre lokale Ansicht im Web of Trust überprüfen können, verschwindet die Warnmeldung.
Dann gibt es einen pragmatischeren Ansatz: Wenn Sie einen vernünftigen Hinweis finden, dass der Schlüssel zum cygwin-Projekt gehört, ist das in Ordnung. Dies kann der auf der Projektwebsite angegebene Fingerabdruck sein, der über HTTPs übertragen wird ( kurze Schlüssel-IDs reichen nicht aus! ).
Außerdem könnte man mitgehen "gut, ich kann den Schlüssel jetzt nicht wirklich validieren, aber ich spiele immer noch mit der Software in einer virtuellen Maschine oder einem Testgerät, und wenn kein Angriff öffentlich angekündigt wurde oder der Schlüssel sich für einige plötzlich ändert Tage oder Wochen, es geht mir gut ". Dieses Konzept wird auch als "Vertrauenswürdig beim ersten Gebrauch" bezeichnet: Man erwartet keine Angriffe oder manipulierte Software, möchte diese jedoch in der Zukunft erkennen. In ähnlicher Weise könnten Sie in der Zeit zurückreisen. Vielleicht finden Sie bereits Verweise auf den Schlüssel in anderen Installationen oder Distributionen.