Estoy tratando de descubrir cómo hacer lo siguiente con un solo comando.
Tengo una imagen ISO junto con su archivo de firma *.sig. Intenté verificarlo a través de GnuPG 2 pero informó que faltaba una clave pública que me daba su huella digital. He recuperado con éxito una clave usando lo siguiente
gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>
pero cuando revisé la clave
gpg2 --edit-key <KEY ID>
seguido por
gpg> check
Recibí este mensaje:
27 signatures not checked due to missing keys
¿Cómo puedo recuperar todas estas claves para comprobar que la clave que tengo es confiable?
Respuesta1
No faltan claves para la firma de la ISO, sino claves que emitieron certificaciones sobre la clave que firmó la imagen.
GnuPG no descarga recursivamente otras claves, tendrá que hacerlo usted mismo (por ejemplo, ejecutando una línea de comando como la que propuso en los comentarios). Pero tenga en cuenta que los certificados proporcionados por otras claves aún no afirman la validez de la clave; es muy fácil generar redes completas de claves que incluso imitan la red de confianza OpenPGP real como se realiza en elMal 32ataque. Si desea validar alguna clave verificando las certificaciones, siempre cree una ruta de confianza que termine en su propia clave (o alguna otra clave que haya verificado a través de otro medio, por ejemplo, al conocer a la persona).