Estou tentando descobrir como fazer o seguinte em um comando.
Eu tenho uma imagem ISO junto com seu arquivo de assinatura *.sig. Tentei verificá-lo via GnuPG 2, mas ele relatou a falta de uma chave pública, fornecendo sua impressão digital. Recuperei com sucesso uma chave usando o seguinte
gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>
mas quando verifiquei a chave
gpg2 --edit-key <KEY ID>
seguido pela
gpg> check
Eu recebi esta mensagem:
27 signatures not checked due to missing keys
Como posso recuperar todas essas chaves para verificar se a chave que obtive é confiável?
Responder1
Não estão faltando chaves para a assinatura do ISO, mas sim chaves que emitiram certificações na chave que assinou a imagem.
O GnuPG não baixa recursivamente outras chaves, você terá que fazer isso sozinho (por exemplo, executando uma linha de comando como a que você propôs nos comentários). Mas esteja ciente de que os certificados fornecidos por outras chaves ainda não afirmam a validade da chave, é muito fácil gerar redes inteiras de chaves que até mesmo imitem a verdadeira rede de confiança do OpenPGP, como realizado noMal 32ataque. Se você quiser validar alguma chave verificando certificações, sempre construa um caminho de confiança que termine na sua própria chave (ou em alguma outra chave que você verificou por outro meio, por exemplo, conhecendo a pessoa).