Ich versuche herauszufinden, wie ich Folgendes mit einem Befehl erledigen kann.
Ich habe ein ISO-Image mit der Signaturdatei *.sig. Ich habe versucht, es mit GnuPG 2 zu verifizieren, aber es hat einen fehlenden öffentlichen Schlüssel gemeldet und mir seinen Fingerabdruck angezeigt. Ich habe erfolgreich einen Schlüssel mit dem folgenden abgerufen
gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>
aber als ich den Schlüssel überprüfte
gpg2 --edit-key <KEY ID>
gefolgt von
gpg> check
Ich habe diese Nachricht erhalten:
27 signatures not checked due to missing keys
Wie kann ich alle diese Schlüssel abrufen, um zu überprüfen, ob der Schlüssel, den ich habe, vertrauenswürdig ist?
Antwort1
Es fehlen Ihnen keine Schlüssel für die ISO-Signatur, sondern Schlüssel, die Zertifizierungen für den Schlüssel ausgestellt haben, mit dem das Image signiert wurde.
GnuPG lädt andere Schlüssel nicht rekursiv herunter, Sie müssen dies selbst tun (zum Beispiel indem Sie eine Befehlszeile wie die von Ihnen in den Kommentaren vorgeschlagene ausführen). Beachten Sie jedoch, dass die von anderen Schlüsseln bereitgestellten Zertifikate die Gültigkeit des Schlüssels nicht bereits bestätigen. Es ist sehr einfach, ganze Netzwerke von Schlüsseln zu generieren, die sogar das echte OpenPGP-Vertrauensnetz nachahmen, wie es in derBöse 32Angriff. Wenn Sie einen Schlüssel durch Überprüfen von Zertifikaten validieren möchten, erstellen Sie immer einen Vertrauenspfad, der bei Ihrem eigenen Schlüssel endet (oder bei einem anderen Schlüssel, den Sie über ein anderes Medium verifiziert haben, z. B. durch ein Treffen mit der Person).