Cara memverifikasi kunci GPG yang diimpor

34

Saya baru dalam hal PGP ini. Inilah pertanyaan saya: Verifikasi
Ketika saya melakukan ini, saya diberi pesan "Kunci ini tidak disertifikasi dengan tanda tangan tepercaya". Apakah ada cara untuk membuatnya dipercaya dan lebih baik lagi, apa cara yang tepat untuk melakukannya?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Mengelola Kunci
Saya mengunduh dan menyimpan kunci publik sebagai isc.public.key, dan mengimpornya menggunakan perintah berikut:

gpg –import isc.public.key

Saya yakin ada tanggal kedaluwarsa sehingga bagaimana saya melakukan hal berikut:

  1. Cari tahu kapan itu kedaluwarsa? Sebenarnya apakah GPG memberi tahu saya ketika kunci yang saya impor sudah kedaluwarsa ketika saya melakukan "gpg --verify"?
  2. Perbarui kuncinya. Apakah saya harus menghapus kunci dan mengimpor kembali ketika ini terjadi?

Terima kasih!

pengguna192702
sumber
Sejauh menyangkut verifikasi, Anda harus mencari tutorial GPG, khususnya istilah 'web of trust'. Untuk pertanyaan kedua man gpgakan menjadi awal yang sangat bagus.
Marki
1
Seperti kata larsks, keamanan yang baik sulit; dan ini sedikit membalik dalam menanggapi pertanyaan yang tulus dengan detail yang masuk akal, bukan? Jika saya salah, saya yakin akan menerima smackdown, dan saya tidak mampu kehilangan "status" dengan total berdiri di 118; -} Itu mengatakan saya memilih Anda untuk 'web kepercayaan' saran istilah pencarian.
Sinthia V

Jawaban:

46

Ketika saya melakukan ini, saya diberi pesan "Kunci ini tidak disertifikasi dengan tanda tangan tepercaya". Apakah ada cara untuk membuatnya dipercaya dan lebih baik lagi apa cara yang tepat untuk melakukannya?

"Tanda tangan tepercaya" adalah tanda tangan dari kunci yang Anda percayai, baik karena (a) Anda telah memverifikasi secara pribadi bahwa itu milik orang yang mengaku miliknya, atau (b) karena telah ditandatangani oleh kunci yang Anda percaya, mungkin melalui serangkaian tombol perantara.

Anda dapat mengedit tingkat kepercayaan kunci dengan menjalankan "gpg --edit-key", dan kemudian menggunakan trustperintah. Bagian manual GPG ini membahas kepercayaan utama, dan layak dibaca: keamanan yang baik sulit.

Perhatikan bahwa peringatan "Kunci ini tidak disertifikasi dengan tanda tangan tepercaya" pada dasarnya berarti, "benda ini bisa ditandatangani oleh siapa saja". Saya dapat membuat kunci yang mengklaim untuk "Internet Systems Consortium, Inc. (Signing key, 2013)", dan menandatangani sesuatu dengan itu, dan GPG akan dengan senang hati mengkonfirmasi bahwa ya, hal-hal yang saya tandatangani ditandatangani dengan kunci saya. Untuk menghindari masalah ini, Anda mungkin akan mengunduh kunci ISC GPG dari situs web dan memercayainya pada akhirnya ("Saya percaya entitas ini dapat mensertifikasi dirinya sendiri") atau menandatanganinya dengan kunci pribadi Anda yang akhirnya tepercaya. Tanpa pengelolaan kepercayaan kunci yang tepat, sebagian besar verifikasi tanda tangan adalah teater.

Cari tahu kapan itu kedaluwarsa?

Menjalankan gpg -k <keyid>akan menunjukkan kepada Anda saat kunci yang diberikan kedaluwarsa. Misalnya, saya membuat kunci yang kedaluwarsa besok, dan gpg -k <keyid>memberi saya:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <[email protected]>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Anda dapat melihat bahwa tanggal kedaluwarsa pada subkunci ditandai dengan jelas. Perhatikan bahwa subkunci yang digunakan untuk penandatanganan dan enkripsi mungkin memiliki tanggal kedaluwarsa yang berbeda dari kunci utama. Anda dapat membaca lebih lanjut tentang subkunci di sini .

Sebenarnya apakah GPG memberi tahu saya ketika kunci yang saya impor sudah kedaluwarsa ketika saya melakukan "gpg --verify"?

Ya, GPG akan memberi tahu Anda tentang kunci yang kadaluwarsa. Perhatikan bahwa ini tidak selalu merupakan masalah: tanda tangan valid ketika dokumen ditandatangani.

Perbarui kuncinya. Apakah saya harus menghapus kunci dan mengimpor kembali ketika ini terjadi?

Anda seharusnya mengonfigurasi lingkungan GPG Anda untuk menggunakan server kunci, dan secara berkala dijalankan gpg --refresh-keys. Ini akan memperbarui semua kunci dalam kunci Anda dengan informasi baru dari server kunci, yang mungkin termasuk:

  • tanggal kedaluwarsa baru
  • tanda tangan tambahan pada tombol

Jika seseorang atau organisasi mulai menggunakan kunci baru, Anda hanya akan menambahkannya ke gantungan kunci Anda - Anda tidak perlu menghapus kunci yang ada.

larsks
sumber
1
Bagaimana jika tidak ada bidang kedaluwarsa?
Aaron Franke