Öffentliche Schlüssel abrufen, die einen von mir signierten Schlüssel signiert haben

2092
Celdor

Ich versuche, in einem Befehl herauszufinden, wie Sie Folgendes tun können.

Ich habe ein ISO-Image mit seiner Signaturdatei * .sig. Ich habe versucht, es über GnuPG 2 zu überprüfen, aber es wurde ein fehlender öffentlicher Schlüssel gemeldet, der mir seinen Fingerabdruck gab. Ich habe einen Schlüssel mit folgendem Code erfolgreich abgerufen

gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>

aber als ich den Schlüssel überprüft habe

gpg2 --edit-key <KEY ID>

gefolgt von

gpg> check

Ich habe diese Nachricht erhalten:

27 signatures not checked due to missing keys

Wie kann ich alle diese Schlüssel abrufen, um zu überprüfen, ob der Schlüssel, den ich besitze, vertrauenswürdig ist?

4
Ich habe eine Problemumgehung mit Shell gefunden: `gpg2 --list-sigs | grep "ID nicht gefunden" | Schnitt c 14-29 | xargs --interactive gpg2 --keyserver hkp: //keys.gnupg.net --recv-key ', aber ich bin trotzdem an `gpg2` interessiert, falls es existiert. Sie wissen, dass die Anzahl der Zeichen in der Ausgabe nicht der beste Ansatz ist Celdor vor 7 Jahren 1

1 Antwort auf die Frage

3
Jens Erat

Es fehlen keine Schlüssel für die ISO-Signatur, sondern Schlüssel, die Zertifikate für den Schlüssel ausgestellt haben, der das Image signiert hat.

GnuPG lädt keine anderen Schlüssel rekursiv herunter. Sie müssen dies selbst tun (indem Sie beispielsweise eine Befehlszeile ausführen, die Sie in den Kommentaren vorgeschlagen haben). Beachten Sie jedoch, dass die von anderen Schlüsseln bereitgestellten Zertifikate die Gültigkeit des Schlüssels nicht bereits bestätigen. Es ist sehr einfach, ganze Schlüsselnetzwerke zu generieren, die sogar das reale OpenPGP-Web of Trust imitieren, wie es beim Evil 32- Angriff der Fall ist . Wenn Sie einen Schlüssel durch Überprüfen der Zertifizierungen überprüfen möchten, erstellen Sie immer einen Vertrauenspfad, der an Ihrem eigenen Schlüssel endet (oder an einem anderen Schlüssel, den Sie auf einem anderen Medium überprüft haben, z. B. durch Treffen mit der Person).

Danke für deine Antwort. Ich habe das Gefühl, ich muss das gesamte Handbuch lesen. Das ist ziemlich verwirrend. Ich weiß, dass ich einem Schlüssel selbst vertrauen kann. Ich weiß auch immer noch nicht, ob Vertrauen und Bestätigung dasselbe sind. Ich weiß, ich kann einen Schlüssel unterschreiben. Ich lese Schlüssel kann gültig sein, wenn bestimmte Bedingungen zutreffen, z. B. kann ein Schlüssel mit einem Schlüssel signiert werden, dem ich voll vertraue. Ich verstehe nicht, was "Zertifikate ausstellen" bedeutet! Ist es das Gleiche wie das Signieren von Schlüsseln? Vielen Dank Celdor vor 7 Jahren 0

Verwandte Probleme