私が持っている鍵に署名した公開鍵を取得する
私は1つのコマンドで次のことを行う方法を理解しようとしています。
ISOイメージとその署名ファイル* .sigがあります。 GnuPG 2で確認しようとしましたが、公開鍵が見つからないために指紋が報告されました。以下を使用してキーを正常に取得しました
gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>
でも鍵を確認したら
gpg2 --edit-key <KEY ID>
に続く
gpg> check
私はこのメッセージを受け取りました:
27 signatures not checked due to missing keys
これらすべてのキーを取得して、取得したキーが信頼できることを確認するにはどうすればよいですか?
ISOの署名用のキーはありませんが、イメージに署名したキーの認証を発行したキーがあります。
GnuPGは他のキーを再帰的にダウンロードしません。これは、自分で行う必要があります(たとえば、コメントで提案したようなコマンドラインを実行することによって)。ただし、他の鍵によって提供される証明書は、鍵の有効性をまだ主張していないことに注意してください。 Evil 32 で実行されるように、実際のOpenPGPWebの信頼を模倣する鍵のネットワーク全体を生成するのは非常に簡単です。攻撃。証明書を確認して一部のキーを検証する場合は、常に自分のキー(または、人に会うなどして別の媒体で確認した他のキー)で終わる信頼パスを作成してください。