如何验证导入的GPG密钥

我是PPG的新手。这是我的问题： 验证
在执行此操作时，系统将显示消息“此密钥未通过可信签名认证”。无论如何，有没有要使它变得值得信赖和变得更好的方法呢？

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

管理密钥
我下载了一个公共密钥并将其保存为isc.public.key，并使用以下命令将其导入：

gpg –import isc.public.key

我确定上面有到期日期，因此我该怎么做：

1. 找出它何时过期？实际上，当我执行“ gpg --verify”时，GPG会告诉我何时导入的密钥已经过期吗？
2. 更新密钥。发生这种情况时，我是否必须删除密钥并重新导入？

谢谢！

执行此操作时，系统会显示消息“此密钥未通过可信签名认证”。无论如何，有没有要使它变得值得信赖和变得更好的方法呢？

“受信任的签名”是您信任的密钥的签名，其原因是（a）您已经亲自验证了它属于它声称属于的人，或者（b）因为它已经由某个密钥签名了，您可能会通过一系列中间键来信任。

您可以通过运行“ gpg --edit-key”，然后使用trust命令来编辑密钥的信任级别。 GPG手册的这一部分讨论了密钥信任，值得一读：良好的安全性很难。

请注意，警告“此密钥未经过可信签名的证明”基本上表示“此东西可能已被任何人签名”。我可以创建一个声称是用于“ Internet Systems Consortium，Inc.（签名，2013年）”的密钥，并用它签名，然后GPG会很高兴地确认是的，我签名的东西都是用我的密钥签名的。为避免此问题，您可能会从网站上下载ISC GPG密钥并最终信任它（“我相信该实体可以证明自己”）或使用您最终信任的私钥对其进行签名。如果不对密钥信任进行适当的管理，签名验证通常会发挥作用。

找出它何时过期？

gpg -k <keyid>当给定密钥过期时，运行将向您显示。例如，我创建了一个将于明天到期的密钥，并gpg -k <keyid>给了我：

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

您可以看到子项上的到期日期已明确标记。请注意，用于签名和加密的子密钥可能与主密钥具有不同的到期日期。您可以在此处阅读有关子键的更多信息。

实际上，当我执行“ gpg --verify”时，GPG会告诉我何时导入的密钥已经过期吗？

是的，GPG会通知您密钥已过期。请注意，这不一定表示问题：签名文档时签名有效。

更新密钥。发生这种情况时，我是否必须删除密钥并重新导入？

您应该将GPG环境配置为使用密钥服务器，并定期运行gpg --refresh-keys。这将使用来自密钥服务器的新信息来更新密钥环中的所有密钥，其中可能包括：

• 新的到期日期
• 密钥上的其他签名

如果某个人或组织开始使用新钥匙，则只需将其添加到钥匙串中，而无需删除现有钥匙。