インポートされたGPGキーを確認する方法

これを行うと、「このキーは信頼できる署名で認証されていません」というメッセージが表示されます。とにかく信頼してより良いものにするための方法はありますか？それを行うための適切な方法は何ですか？

「信頼できる署名」とは、（a）自分が所属する人物に属していることを個人的に確認したか、（b）次の鍵で署名されているために、信頼できる鍵からの署名ですおそらく一連の中間キーを通じて信頼します。

「gpg --edit-key」を実行してからtrustコマンドを使用することで、キーの信頼レベルを編集できます。 このセクション GPGマニュアルのキーの信頼について説明しています。これは一読の価値があります。優れたセキュリティは困難です。

「このキーは信頼できる署名で認証されていません」という警告は、基本的には「このものはだれでも署名できた可能性がある」という意味です。 「Internet Systems Consortium、Inc.（Signing key、2013）」に該当すると主張するキーを作成し、それに署名することができます。GPGは喜んで、はい、私が署名したものは自分のキーで署名されたことを確認します。この問題を回避するには、おそらく ウェブサイト からISC GPGキーをダウンロードし、最終的にそれを信頼するか（「このエンティティは自分自身を証明できると思います」）、または最終的に信頼される秘密キーで署名します。鍵の信頼を適切に管理しないと、署名の検証はほとんどの場合劇場で行われます。

いつ期限切れになるか確認してください。

gpg -k <keyid>を実行すると、指定されたキーの有効期限が切れたときに表示されます。たとえば、明日有効期限が切れるキーを作成したところ、gpg -k <keyid>で次のようになりました。

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <[email protected]>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

サブキーの有効期限が明確にマークされていることがわかります。署名と暗号化に使用されるサブキーの有効期限は、主キーとは異なる場合があることに注意してください。サブキーの詳細については here を参照してください。

実際、GPGは、「gpg --verify」を実行したときに、インポートしたキーの有効期限が切れていることを通知しますか？

はい、GPGは期限切れのキーについて通知します。これは必ずしも問題を表すものではないことに注意してください。ドキュメントに署名したときに署名は有効でした。

キーを更新します。この場合、キーを削除して再インポートする必要がありますか？

キーサーバーを使用するようにGPG環境を構成し、定期的にgpg --refresh-keysを実行する必要があります。これにより、キーリング内のすべてのキーがキーサーバーからの新しい情報で更新されます。

• 新しい有効期限
• 鍵に追加の署名

人または組織が新しいキーの使用を開始した場合、それをキーチェーンに追加するだけです。既存のキーを削除する必要はありません。