1 つのコマンドで次の操作を実行する方法を見つけようとしています。
私はISOイメージと署名ファイル*.sigを持っています。GnuPG 2で検証しようとしましたが、フィンガープリントを提供する公開鍵が見つからないと報告されました。次の方法で鍵を取得できました。
gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>
しかし鍵を確認すると
gpg2 --edit-key <KEY ID>
に続く
gpg> check
次のようなメッセージを受け取りました:
27 signatures not checked due to missing keys
取得したキーが信頼できるかどうかを確認するために、これらすべてのキーを取得するにはどうすればよいですか?
答え1
ISOの署名の鍵を見逃しているわけではありませんが、画像に署名したキーに認定を発表したキーがありません。
GnuPGは他の鍵を再帰的にダウンロードしないので、自分でこれを行う必要があります(たとえば、コメントで提案したようなコマンドラインを実行するなど)。ただし、他の鍵によって提供される証明書は、鍵の有効性を主張していないことに注意してください。これは、OpenPGPの信頼のウェブを模倣した鍵のネットワーク全体を生成するのが非常に簡単です。悪32攻撃者を攻撃から守るために、証明書をチェックして何らかのキーを検証したい場合は、常に自分のキー(または、本人に会うなど別の手段で検証した他のキー)で終わる信頼パスを構築してください。