检索签署了我拥有的密钥的公钥

5

我试图弄清楚如何在一个命令中执行以下操作。

我有一个ISO映像及其签名文件* .sig。我试图通过GnuPG 2验证它,但它报告了一个丢失的公钥给我指纹。我使用以下方法成功检索了一个密钥

gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>

但是当我检查钥匙时

gpg2 --edit-key <KEY ID>

其次是

gpg> check

我收到了这条消息:

27 signatures not checked due to missing keys

如何检索所有这些密钥以检查我获得的密钥是否可信?

gnupg  openpgp 
Celdor
source
2
我找到了一个使用shell的解决方法:gpg2 --list-sigs <KEY ID> | grep "ID not found" | cut -c 14-29 | xargs --interactive gpg2 --keyserver hkp://keys.gnupg.net --recv-key' but I am still interested in gpg2`如果存在的话。你知道依靠输出中的字符数不是最好的方法
Celdor 2017年
事实证明,我需要cut14-31的,而不是14-29
卢修斯胡锦涛

Answers:

4

您不会错过ISO签名的密钥,而是缺少对签署图像的密钥颁发认证的密钥。

GnuPG不会递归下载其他密钥,您必须自己执行此操作(例如,通过运行命令行,如您在评论中建议的那样)。但请注意,其他密钥提供的证书尚未声明密钥的有效性,生成完整的密钥网络非常容易,甚至模仿真实的OpenPGP信任网络,就像在Evil 32攻击中执行的那样。如果要通过检查认证来验证某些密钥,请始终构建一个以您自己的密钥(或通过其他介质验证的其他密钥,例如通过与该人员会面)结束的信任路径。

Jens Erat
source
感谢您的回答。我觉得我需要去阅读整本手册。这很令人困惑; 我知道我自己可以信任一把钥匙。此外,我仍然不知道信任和验证是否相同。我知道我可以签一把钥匙。如果某些条件匹配,我读取密钥可能是有效的,例如,密钥可以由我完全信任的密钥之一签名。我不明白“问题认证”是什么意思!是否与签名密钥相同?谢谢
Celdor 2017年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.