하나의 명령으로 다음을 수행하는 방법을 알아 내려고합니다.
서명 파일 *.sig와 함께 ISO 이미지가 있습니다. GnuPG 2를 통해 확인하려고 했지만 지문을 제공하는 공개 키가 누락되었다고 보고되었습니다. 다음을 사용하여 키를 성공적으로 검색했습니다.
gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>
그런데 열쇠를 확인해보니
gpg2 --edit-key <KEY ID>
이어서
gpg> check
나는 다음 메시지를 받았습니다:
27 signatures not checked due to missing keys
내가 가지고 있는 키가 신뢰할 수 있는지 확인하기 위해 이러한 키를 모두 검색하려면 어떻게 해야 합니까?
답변1
ISO 서명에 대한 키가 누락된 것이 아니라 이미지에 서명한 키에 대한 인증을 발급한 키가 누락되었습니다.
GnuPG는 다른 키를 재귀적으로 다운로드하지 않으므로 이를 직접 수행해야 합니다(예를 들어 주석에서 제안한 것과 같은 명령줄을 실행하여). 그러나 다른 키에서 제공하는 인증서는 아직 키의 유효성을 주장하지 않으며, 다음에서 수행된 것처럼 실제 OpenPGP 신뢰 웹을 모방하는 전체 키 네트워크를 생성하는 것은 매우 쉽습니다.이블 32공격. 인증을 확인하여 일부 키의 유효성을 검사하려면 항상 자신의 키(또는 사람을 만나는 등 다른 매체를 통해 확인한 다른 키)로 끝나는 신뢰 경로를 구축하세요.