我試圖弄清楚如何在一個命令中執行以下操作。
我有一個 ISO 映像及其簽名檔 *.sig。我嘗試透過 GnuPG 2 驗證它,但它報告缺少公鑰,給了我它的指紋。我已使用以下命令成功檢索了密鑰
gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>
但是當我檢查鑰匙時
gpg2 --edit-key <KEY ID>
其次是
gpg> check
我收到這樣的訊息:
27 signatures not checked due to missing keys
如何檢索所有這些密鑰以檢查我獲得的密鑰是否可信?
答案1
您並不是缺少 ISO 簽署的金鑰,而是缺少為簽署映像的金鑰頒發憑證的金鑰。
GnuPG 不會遞歸下載其他金鑰,您必須自行執行此操作(例如,透過執行您在評論中建議的命令列)。但請注意,其他密鑰提供的證書尚未斷言該密鑰有效,很容易生成整個密鑰網絡,甚至模仿真正的 OpenPGP 信任網絡,就像在邪惡32攻擊。如果您想透過檢查認證來驗證某個金鑰,請始終建立一條以您自己的金鑰(或您透過其他媒介驗證的其他金鑰,例如透過與該人會面)結束的信任路徑。