【问题标题】:Hot to verify a public key's extensions before importing it to GnuPG?在将公钥导入 GnuPG 之前验证公钥的扩展是否很热门?
【发布时间】:2016-01-08 13:51:24
【问题描述】:
当我的密钥环中有用户之前(现已过期)的公钥时,如何验证用户的扩展公钥文件的完整性(通过缺乏机密性和身份验证的连接下载时)?他们的过期密钥是否有足够的信息来验证扩展密钥?考虑以下场景:
- 我的密钥环中有 Bob 的可信公钥。
- Bob 的密钥昨天过期,因此他扩展了他的密钥对并将一个新的 ascii 铠装公钥上传到他的网站。
- 我通过 http 下载了 Bob 的新公钥文件,我想验证它。
新的公钥文件是否用他的旧密钥以可验证的方式签名?我将如何利用他在我的密钥环中的现有(过期)密钥来验证新密钥文件的完整性?
【问题讨论】:
-
有不同的 Stack Exchange 站点用于不同的目的,一般的计算机使用不属于 Stack Overflow 的范围。我投票支持迁移到超级用户,这更适合这个问题。你现在什么都看不到(除非获得更多的“声望点”),也不需要做任何事情;但以后请考虑哪些网站最适合您的问题(每个网站的 FAQ 解释了主题内容)。
-
标签:
linux
security
gnupg
pgp
【解决方案1】:
对于具有新密钥对的一般场景:如果密钥本身由他的旧密钥签名(这是进行此类密钥更改的常用方法)和/或您下载的密钥文件是由他的旧密钥签名的,您无论如何都可以验证和验证签名:所发生的一切都是 GnuPG 表明该密钥已过期。
但是你写的
Bob 的密钥昨天过期了,所以他扩展了他的密钥对并将一个新的 ascii-armoured 公钥上传到他的网站
延长密钥的有效性不会产生不同的密钥。他们的密钥由公钥和创建时间戳的元组标识,它们一起被散列到密钥的指纹。短密钥和长密钥 ID 都是由此派生的。如果他所做的只是延长密钥的有效期,只需导入密钥即可。您在该密钥上发布的签名和信任仍然有效。
如果您希望在导入之前至少可以比较长密钥 ID,请运行
gpg --keyid-format 0xlong [key-file]
并与钥匙链中已有的钥匙进行比较。
无论如何:不要简单地信任密钥链中的密钥,而是使用签名和信任来代替。许多邮件客户端会自动获取密钥来验证签名,您可能已经获取了一些(未验证的)密钥来读取其他密钥上发布的签名,...