Linux MintのISOイメージをダウンロードしました。検証、私は得る
$ gpg --verify sha256sum.txt.gpg sha256sum.txt
gpg: Signature made Thu 08 Jul 2021 05:06:26 AM CDT using RSA key ID A25BAE09
gpg: Good signature from "Linux Mint ISO Signing Key <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09
署名は適切だが、キーが信頼できる署名で認証されていないというのはどういう意味ですか?
答え1
「署名が有効」というメッセージは、署名が有効であることを意味します。つまりローカルにある公開鍵と一致する秘密鍵が実際にファイルに署名したことを確認します。
「認証されていません」というメッセージは、キー自体が主張する ID と一致するかどうかが検証されていないことを意味します。これは「信頼のウェブ」に関係しており、今日ではほとんどの人にとって非現実的であると考えられています。
見るLinux の検証で問題が発生しました。キーをダウンロードした後でも、「公開キーがありません」というメッセージが表示されます。詳細については、こちらをご覧ください。そこに記載されている手順に従って「初回使用時に信頼する」を有効にすると、「認証されていません」というメッセージは表示されなくなります。