Saya memiliki salinan kunci gpg repositori postgresql apt dan ingin melihat detail kunci gpg seperti yang ada dalam file. Apakah ini mungkin tanpa mengimpornya ke gantungan kunci?
Ada beberapa level detail yang bisa Anda dapatkan ketika melihat data kunci OpenPGP: ringkasan dasar, output ringkasan ini yang dapat dibaca mesin atau daftar detail dari paket OpenPGP.
Untuk puncak singkat pada file kunci OpenPGP, Anda dapat dengan mudah melewatkan nama file sebagai parameter atau pipa dalam data kunci melalui STDIN. Jika tidak ada perintah yang dilewati, GnuPG mencoba menebak apa yang ingin Anda lakukan - dan untuk data kunci, ini mencetak ringkasan pada kunci:
$ gpg a4ff2279.asc
gpg: WARNING: no command supplied. Trying to guess what you mean ...
pub rsa8192 2012-12-25 [SC]
0D69E11F12BDBA077B3726AB4E1F799AA4FF2279
uid Jens Erat (born 1988-01-19 in Stuttgart, Germany)
uid Jens Erat <[email protected]>
uid Jens Erat <[email protected]>
uid Jens Erat <[email protected]>
uid Jens Erat <[email protected]>
uid [jpeg image of size 12899]
sub rsa4096 2012-12-26 [E] [revoked: 2014-03-26]
sub rsa4096 2012-12-26 [S] [revoked: 2014-03-26]
sub rsa2048 2013-01-23 [S] [expires: 2023-01-21]
sub rsa2048 2013-01-23 [E] [expires: 2023-01-21]
sub rsa4096 2014-03-26 [S] [expires: 2020-09-03]
sub rsa4096 2014-03-26 [E] [expires: 2020-09-03]
sub rsa4096 2014-11-22 [A] [revoked: 2016-03-01]
sub rsa4096 2016-02-24 [A] [expires: 2020-02-23]
Dengan menetapkan --keyid-format 0xlong
, ID kunci panjang dicetak dan bukan ID kunci pendek tidak aman :
$ gpg a4ff2279.asc
gpg: WARNING: no command supplied. Trying to guess what you mean ...
pub rsa8192/0x4E1F799AA4FF2279 2012-12-25 [SC]
0D69E11F12BDBA077B3726AB4E1F799AA4FF2279
uid Jens Erat (born 1988-01-19 in Stuttgart, Germany)
uid Jens Erat <[email protected]>
uid Jens Erat <[email protected]>
uid Jens Erat <[email protected]>
uid Jens Erat <[email protected]>
uid [jpeg image of size 12899]
sub rsa4096/0x0F3ED8E6759A536E 2012-12-26 [E] [revoked: 2014-03-26]
sub rsa4096/0x2D6761A7CC85941A 2012-12-26 [S] [revoked: 2014-03-26]
sub rsa2048/0x9FF7E53ACB4BD3EE 2013-01-23 [S] [expires: 2023-01-21]
sub rsa2048/0x5C88F5D83E2554DF 2013-01-23 [E] [expires: 2023-01-21]
sub rsa4096/0x8E78E44DFB1B55E9 2014-03-26 [S] [expires: 2020-09-03]
sub rsa4096/0xCC73B287A4388025 2014-03-26 [E] [expires: 2020-09-03]
sub rsa4096/0x382D23D4C9773A5C 2014-11-22 [A] [revoked: 2016-03-01]
sub rsa4096/0xFF37A70EDCBB4926 2016-02-24 [A] [expires: 2020-02-23]
pub rsa1024/0x7F60B22EA4FF2279 2014-06-16 [SCEA] [revoked: 2016-08-16]
Memberikan -v
atau -vv
bahkan akan menambah informasi. Saya lebih suka mencetak detail paket dalam hal ini (lihat di bawah).
GnuPG juga memiliki format keluaran yang dipisahkan oleh titik dua, yang mudah dipecah dan memiliki format yang stabil. The Format didokumentasikan dalam GnuPG doc/DETAILS
berkas . Opsi untuk menerima format ini adalah --with-colons
.
$ gpg --with-colons a4ff2279.asc
gpg: WARNING: no command supplied. Trying to guess what you mean ...
pub:-:8192:1:4E1F799AA4FF2279:1356475387:::-:
uid:::::::::Jens Erat (born 1988-01-19 in Stuttgart, Germany):
uid:::::::::Jens Erat <[email protected]>:
uid:::::::::Jens Erat <[email protected]>:
uid:::::::::Jens Erat <[email protected]>:
uid:::::::::Jens Erat <[email protected]>:
uat:::::::::1 12921:
sub:-:4096:1:0F3ED8E6759A536E:1356517233:1482747633:::
sub:-:4096:1:2D6761A7CC85941A:1356517456:1482747856:::
sub:-:2048:1:9FF7E53ACB4BD3EE:1358985314:1674345314:::
sub:-:2048:1:5C88F5D83E2554DF:1358985467:1674345467:::
sub:-:4096:1:8E78E44DFB1B55E9:1395870592:1599164118:::
sub:-:4096:1:CC73B287A4388025:1395870720:1599164118:::
sub:-:4096:1:382D23D4C9773A5C:1416680427:1479752427:::
sub:-:4096:1:FF37A70EDCBB4926:1456322829:1582466829:::
Sejak GnuPG 2.1.23, gpg: WARNING: no command supplied. Trying to guess what you mean ...
peringatan dapat dihilangkan dengan menggunakan --import-options show-only
opsi bersama dengan --import
perintah (ini juga berfungsi tanpa --with-colons
, tentu saja):
$ gpg --with-colons --import-options show-only --import a4ff2279
[snip]
Untuk versi yang lebih lama: pesan peringatan dicetak pada STDERR, jadi Anda bisa membaca STDIN untuk memisahkan informasi utama dari peringatan.
Tanpa menginstal paket lebih lanjut, Anda dapat menggunakan gpg --list-packets [file]
untuk melihat informasi tentang paket OpenPGP yang terkandung dalam file.
$ gpg --list-packets a4ff2279.asc
:public key packet:
version 4, algo 1, created 1356475387, expires 0
pkey[0]: [8192 bits]
pkey[1]: [17 bits]
keyid: 4E1F799AA4FF2279
:user ID packet: "Jens Erat (born 1988-01-19 in Stuttgart, Germany)"
:signature packet: algo 1, keyid 4E1F799AA4FF2279
version 4, created 1356516623, md5len 0, sigclass 0x13
digest algo 2, begin of digest 18 46
hashed subpkt 27 len 1 (key flags: 03)
[snip]
The pgpdump [file]
alat bekerja sama dengan gpg --list-packets
dan memberikan output yang sama, tetapi menyelesaikan semua pengidentifikasi algoritma untuk representasi dibaca. Ini tersedia untuk semua distribusi yang relevan (pada turunan Debian, paket ini disebut pgpdump
seperti alat itu sendiri).
$ pgpdump a4ff2279.asc
Old: Public Key Packet(tag 6)(1037 bytes)
Ver 4 - new
Public key creation time - Tue Dec 25 23:43:07 CET 2012
Pub alg - RSA Encrypt or Sign(pub 1)
RSA n(8192 bits) - ...
RSA e(17 bits) - ...
Old: User ID Packet(tag 13)(49 bytes)
User ID - Jens Erat (born 1988-01-19 in Stuttgart, Germany)
Old: Signature Packet(tag 2)(1083 bytes)
Ver 4 - new
Sig type - Positive certification of a User ID and Public Key packet(0x13).
Pub alg - RSA Encrypt or Sign(pub 1)
Hash alg - SHA1(hash 2)
Hashed Sub: key flags(sub 27)(1 bytes)
[snip]
--list-packets
?--list-packets
.WARNING: no command supplied
ke stderr? (Ini menggagalkan penggunaangpg
dalam skrip dengan benar. Ketika sampai pada crypto, satu-satunya cara aman adalah memperlakukan output apa pun pada stderr sebagai kesalahan fatal. Hanya dengan cara ini Anda akan siap ketika kelemahan penting baru ditemukan yang hanya mencetak ke stderr).--list-keys
, sesuatu sepertigpg --no-default-keyring --keyring=/tmp/<keyfile> --list-keys
. Atau cukup buang pesan peringatan, ada banyak opsi untuk memfilter stderr dalam skrip (ba) sh .Saya sepertinya bisa bergaul dengan sederhana:
Output mana yang seperti ini:
Op tidak menentukan secara spesifik info kunci apa yang relevan. Output ini yang saya pedulikan.
sumber
Untuk memverifikasi dan mendaftar sidik jari kunci (tanpa mengimpornya ke keyring terlebih dahulu), ketikkan
Sunting: di Ubuntu 18.04 (gpg 2.2.4) sidik jari tidak ditampilkan dengan perintah di atas. Gunakan
--with-subkey-fingerprint
opsi sebagai gantinyasumber
gpg --with-fingerprint
menekan pencetakan sidik jari di samping saya. Ubuntu 18.04gpg (GnuPG) 2.1.18
--with-subkey-fingerprint
info yang dapat digunakan di Ubuntu 18.04Opsi
--list-packets
mem-parsing data pgp dari file dan menampilkan strukturnya - dengan cara yang sangat teknis. Saat mem-parsing kunci publik, Anda dapat dengan mudah mengekstrak id pengguna dan id kunci tanda tangan.Berhati-hatilah karena perintah ini hanya mem-parsing format data, tidak ada validasi tanda tangan atau hal serupa.
sumber
Ketika saya menemukan jawaban ini, saya mencari cara untuk mendapatkan output yang mudah diurai. Bagi saya opsi
--with-colons
melakukan trik:Dokumentasi dapat ditemukan di sini .
sumber
Anda juga dapat menggunakan
--keyid-format
sakelar untuk menampilkan ID kunci pendek atau panjang:yang keluarannya seperti ini (contoh dari kunci repo PostgreSQL CentOS):
sumber
pgpdump
( https://www.lirnberger.com/tools/pgpdump/ ) adalah alat yang dapat Anda gunakan untuk memeriksa blok pgp.Itu tidak ramah pengguna, dan cukup teknis, bagaimanapun,
sayangnya tidak membaca stdin: /
sumber
pgpdump
membacastdin
. Misalnya,curl -s https://www.theguardian.com/pgp/PublicKeys/Guardian%20Application-Security.pub.txt | pgpdump
berfungsi dengan baik.Untuk mendapatkan ID kunci (8 byte, 16 digit hex), ini adalah perintah yang bekerja untuk saya di GPG 1.4.16, 2.1.18 dan 2.2.19:
Untuk mendapatkan informasi lebih lanjut (selain ID kunci):
Untuk mendapatkan lebih banyak informasi:
Perintah
juga berfungsi di ketiga versi, tetapi dalam GPG 1.4.16 hanya mencetak ID kunci pendek (4 byte, 8 digit hex), sehingga kurang aman untuk mengidentifikasi kunci.
Beberapa perintah dalam jawaban lain (misalnya
gpg --show-keys
,gpg --with-fingerprint
,gpg --import --import-options show-only
) tidak bekerja di beberapa 3 versi GPG atas, sehingga mereka tidak portabel bila menargetkan beberapa versi GPG.sumber