आयातित GPG कुंजी को कैसे सत्यापित करें

34

मैं इस पीजीपी चीज के लिए नया हूं। यहां मेरे प्रश्न हैं: सत्यापन
जब मैं ऐसा करता हूं, तो मुझे संदेश दिया जाता है "यह कुंजी विश्वसनीय हस्ताक्षर के साथ प्रमाणित नहीं है"। वहाँ वैसे भी यह विश्वसनीय और बेहतर बनाने के लिए है फिर भी ऐसा करने का उचित तरीका क्या है?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

कुंजी को प्रबंधित करना
मैंने isc.public.key के रूप में एक सार्वजनिक कुंजी को डाउनलोड किया और सहेजा, और निम्न कमांड का उपयोग करके इसे आयात किया:

gpg –import isc.public.key

मुझे यकीन है कि इस पर एक समाप्ति तिथि है तो मैं निम्नलिखित कैसे करूं:

  1. पता लगाएं कि यह कब समाप्त हो रहा है? वास्तव में GPG मुझे बताती है कि जब मैंने आयात की कुंजी पहले ही समाप्त हो गई है जब मैं "gpg --verify" करता हूं?
  2. कुंजी अद्यतन करें। क्या ऐसा होने पर मुझे कुंजी को हटाना होगा और पुनः आयात करना होगा?

धन्यवाद!

gpg 
user192702
स्रोत
जहां तक ​​सत्यापन का संबंध है, आपको एक GPG ट्यूटोरियल देखना चाहिए, विशेष रूप से 'वेब ऑफ ट्रस्ट'। दूसरे प्रश्न के man gpgलिए एक बहुत अच्छी शुरुआत होगी।
मार्की
1
जैसा कि लार्क्स ने कहा, अच्छी सुरक्षा कठिन है; और यह उचित विस्तार के साथ एक ईमानदार सवाल के जवाब में थोड़ा फ्लिप है, नहीं? अगर मैं गलत हूं, तो मुझे स्मैकडाउन पर भरोसा करना ज़रूरी है, और मैं 118 पर अपने कुल खड़े होने के साथ "स्थिति" के किसी भी नुकसान को बर्दाश्त नहीं कर सकता; -} कहा कि मैं आपको 'विश्वास के वेब' के लिए वोट कर रहा हूं। खोज शब्द सुझाव।
सिनथिया वी

जवाबों:

46

जब मैं ऐसा करता हूं, तो मुझे संदेश दिया जाता है "यह कुंजी विश्वसनीय हस्ताक्षर के साथ प्रमाणित नहीं है"। वहाँ वैसे भी यह विश्वसनीय और बेहतर बनाने के लिए है फिर भी ऐसा करने का उचित तरीका क्या है?

एक "विश्वसनीय हस्ताक्षर" एक कुंजी से एक हस्ताक्षर है जिस पर आप भरोसा करते हैं, क्योंकि (ए) आपने व्यक्तिगत रूप से सत्यापित किया है कि यह उस व्यक्ति से संबंधित है जिसे वह संबंधित होने का दावा करता है, या (बी) क्योंकि यह एक कुंजी द्वारा हस्ताक्षरित है आप भरोसा करते हैं, संभवतः मध्यवर्ती कुंजियों की एक श्रृंखला के माध्यम से।

आप "gpg --edit-key" चलाकर कुंजियों के विश्वास स्तर को संपादित कर सकते हैं और फिर trustकमांड का उपयोग कर सकते हैं । GPG मैनुअल का यह भाग मुख्य विश्वास पर चर्चा करता है, और यह पढ़ने लायक है: अच्छी सुरक्षा कठिन है।

ध्यान दें कि "यह कुंजी एक विश्वसनीय हस्ताक्षर के साथ प्रमाणित नहीं है" मूल रूप से इसका मतलब है, "यह बात किसी के भी हस्ताक्षर हो सकती है"। मैं एक कुंजी बना सकता हूं जो "इंटरनेट सिस्टम कंसोर्टियम, इंक। (साइनिंग कुंजी, 2013)" के लिए होने का दावा करता है, और इसके साथ चीजों पर हस्ताक्षर करता है, और जीपीजी खुशी से पुष्टि करेगा कि हां, जिन चीजों पर मैंने हस्ताक्षर किए थे, वे मेरी कुंजी के साथ हस्ताक्षर किए गए थे। इस समस्या से बचने के लिए, आप निश्चित रूप से आईएससी जीपीजी कुंजी को वेबसाइट से डाउनलोड करेंगे और या तो अंततः इस पर भरोसा करेंगे ("मेरा मानना ​​है कि यह इकाई खुद को प्रमाणित कर सकती है") या इसे अपने अंततः विश्वसनीय निजी कुंजी के साथ हस्ताक्षर करें। मुख्य ट्रस्ट के उचित प्रबंधन के बिना, हस्ताक्षर सत्यापन ज्यादातर थिएटर है।

पता लगाएं कि यह कब समाप्त हो रहा है?

चल रहा है gpg -k <keyid>जब किसी खास कुंजी समाप्त हो रहा है तुम्हें दिखाता हूँ। उदाहरण के लिए, मैंने एक कुंजी बनाई जो कल समाप्त हो रही है, और gpg -k <keyid>मुझे देता है:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

आप देख सकते हैं कि उपकुंजियों पर समाप्ति की तारीख स्पष्ट रूप से अंकित है। ध्यान दें कि हस्ताक्षर और एन्क्रिप्शन के लिए उपयोग की जाने वाली उपकुंजियों में प्राथमिक कुंजी से अलग समाप्ति तिथि हो सकती है। आप यहां उपकुंजियों के बारे में अधिक पढ़ सकते हैं ।

वास्तव में GPG मुझे बताती है कि जब मैंने आयात की कुंजी पहले ही समाप्त हो गई है जब मैं "gpg --verify" करता हूं?

हां, GPG आपको एक समाप्त हो चुकी कुंजी के बारे में सूचित करेगा। ध्यान दें कि यह आवश्यक रूप से एक समस्या का प्रतिनिधित्व नहीं करता है: दस्तावेज़ हस्ताक्षरित होने पर हस्ताक्षर मान्य था।

कुंजी अद्यतन करें। क्या ऐसा होने पर मुझे कुंजी को हटाना होगा और पुनः आयात करना होगा?

आपके पास एक पर्यवेक्षक का उपयोग करने के लिए कॉन्फ़िगर किया गया GPG वातावरण होना चाहिए, और समय-समय पर चलना चाहिए gpg --refresh-keys। यह आपके कीरिंग की किसी भी कुंजी को कीज़रवर की नई जानकारी से अपडेट करेगा, जिसमें शामिल हो सकते हैं:

  • नई समाप्ति की तारीखें
  • कुंजी पर अतिरिक्त हस्ताक्षर

यदि कोई व्यक्ति या संगठन नई कुंजी का उपयोग करना शुरू करता है, तो आप इसे अपने किचेन में जोड़ देंगे - आपको मौजूदा कुंजी को हटाने की आवश्यकता नहीं होगी।

larsks
स्रोत
1
यदि कोई समाप्ति क्षेत्र नहीं है तो क्या होगा?
एरोन फ्रेंके
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.