Ich habe gerade ein ISO-Image von Linux Mint heruntergeladen. Nach Überprüfung der Schritte fürÜberprüfung, erhalte ich
$ gpg --verify sha256sum.txt.gpg sha256sum.txt
gpg: Signature made Thu 08 Jul 2021 05:06:26 AM CDT using RSA key ID A25BAE09
gpg: Good signature from "Linux Mint ISO Signing Key <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09
Was bedeutet es, dass man zwar eine gute Signatur hat, der Schlüssel aber nicht mit einer vertrauenswürdigen Signatur zertifiziert ist?
Antwort1
Die Meldung „Gute Signatur“ bedeutet, dass die Signatur gültig ist.dhdass die Datei tatsächlich mit dem privaten Schlüssel signiert wurde, der mit dem öffentlichen Schlüssel übereinstimmt, den Sie lokal haben.
Die Meldung „nicht zertifiziert“ bedeutet, dass Sie nicht überprüft haben, ob der Schlüssel selbst mit der Identität übereinstimmt, die er vorgibt zu sein. Dies hängt mit dem „Web of Trust“ zusammen und wird heutzutage von den meisten Menschen als unpraktisch angesehen.
SehenProbleme beim Überprüfen von Linux, selbst nach dem Herunterladen des Schlüssels erhalte ich die Meldung „Kein öffentlicher Schlüssel“für weitere Einzelheiten. Wenn Sie die dortigen Anweisungen befolgen, um „Vertrauen bei der ersten Verwendung“ zu aktivieren, erhalten Sie die Meldung „Nicht zertifiziert“ nicht mehr.