Я пытаюсь понять, как сделать следующее одной командой.
У меня есть образ ISO вместе с его файлом подписи *.sig. Я попытался проверить его через GnuPG 2, но он сообщил об отсутствии открытого ключа, дав мне его отпечаток. Я успешно получил ключ, используя следующее
gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>
но когда я проверил ключ
gpg2 --edit-key <KEY ID>
с последующим
gpg> check
Я получил это сообщение:
27 signatures not checked due to missing keys
Как мне получить все эти ключи, чтобы проверить, является ли полученный мной ключ доверенным?
решение1
У вас отсутствуют не ключи для подписи ISO, а ключи, выдавшие сертификаты на ключ, подписавший образ.
GnuPG не загружает рекурсивно другие ключи, вам придется сделать это самостоятельно (например, запустив командную строку, как вы предложили в комментариях). Но имейте в виду, что сертификаты, предоставляемые другими ключами, еще не подтверждают действительность ключа, очень легко сгенерировать целые сети ключей, которые даже имитируют настоящую сеть доверия OpenPGP, как это сделано вЗло 32атака. Если вы хотите проверить какой-то ключ, проверив сертификаты, всегда создавайте путь доверия, который заканчивается вашим собственным ключом (или каким-то другим ключом, который вы проверили через другой посредник, например, встретившись с человеком).