2 votes

Celdor avatar

Besoin d'un coup de main pour importer une nouvelle clé publique

Demandé el 13 de Mai, 2018
Quand la question a-t-elle été
1413 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis un nouvel utilisateur de GnuPG. Je suis très familier avec le concept de clés publiques et privées, ainsi qu'avec le Web of Trust après avoir lu The GNU Privacy Handbook et quelques blogs. Cependant, je ne sais pas comment procéder si je viens de commencer avec un trousseau de clés vide et trustdb, et que j'ai besoin de vérifier les nouveaux fichiers téléchargés depuis Internet.

Par exemple, je voudrais compiler Emacs à partir des sources. J'ai téléchargé deux fichiers depuis son site web Gnu Emacs : emacs-25.3.tar.gz.sigemacs-25.3.tar.gz . J'ai vérifié la signature et j'ai obtenu ce résultat :

gpg: Signature made Mon 11 Sep 2017 20:52:45 BST
gpg:                using RSA key 28D3BED851FDF3AB57FEF93C233587A47C207910
gpg: Can't check signature: No public key

Pour une raison quelconque, je ne peux pas récupérer la clé "7C207910" comme l'indique gpg :

[fw@localhost~ ]$ gpg --recv-keys 7C207910
gpg: Note: signatures using the SHA1 algorithm are rejected
gpg: key 0x233587A47C207910: 19 signatures not checked due to missing keys
gpg: key 0x233587A47C207910: 10 bad signatures
gpg: key 0x233587A47C207910: no valid user IDs
gpg: this may be caused by a missing self-signature
gpg: Total number processed: 1
gpg:           w/o user IDs: 1

Après vérification, il me semble que la clé appartient à Nicolas Petton, dont l'identifiant de clé se termine par 7C207910 . Je suppose que si je recevais la clé du serveur de clés, je connaîtrais son empreinte digitale. Si les deux empreintes digitales correspondaient, sur le site web et dans la clé que je viens de recevoir, cela suffirait-il à confirmer que la clé appartient à Nicolas Petton ? Serait-ce une information suffisante pour confirmer la clé et lui accorder une confiance totale ?

Quelle est votre routine ?

Merci

Demandé el 13 de Mai, 2018 par Celdor

Réponse

Trop de publicités?

3voto

James Mertz avatar
James Mertz Points 390

Vous ou votre distribution avez ajouté l'option weak-digest SHA1 à la configuration de GnuPG ( ~/.gnupg/gpg.conf ), ce qui entraîne le rejet des signatures réalisées avec SHA-1 comme étant "faibles". (Par défaut, seul MD5 est rejeté. SHA-1 est encore acceptable, mais à peine).

Sans cette option, le résultat attendu est :

$ gpg --recv-keys 28D3BED851FDF3AB57FEF93C233587A47C207910
gpg: key 233587A47C207910: public key "Nicolas Petton <nicolas@petton.fr>" imported
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   2  signed:   9  trust: 0-, 0q, 0n, 0m, 0f, 2u
gpg: depth: 1  valid:   9  signed:  78  trust: 3-, 0q, 0n, 6m, 0f, 0u
gpg: depth: 2  valid:  68  signed:  18  trust: 31-, 20q, 2n, 15m, 0f, 0u
gpg: depth: 3  valid:   2  signed:   2  trust: 1-, 1q, 0n, 0m, 0f, 0u
gpg: next trustdb check due at 2018-06-25
gpg: Total number processed: 1
gpg:               imported: 1

Je suppose que si je recevais la clé du serveur de clés, je connaîtrais son empreinte digitale.

Pas nécessairement. Vous ne savez pas encore si vous avez reçu la vraie clé, ou une autre clé qui se trouve avoir le même ID de clé. Les ID de clé "courts" (8 chiffres) sont les suivants très facile à dupliquer, et l'avenir pour les "longs" (16 chiffres) ne s'annonce pas bon non plus. Si vous déjà connaître l'empreinte digitale, vous devez l'utiliser directement avec --recv-keys et d'autres commandes.

Dans tous les cas, vous ne devez pas obtenir d'empreintes digitales de le serveur de clés ; cela va à l'encontre de l'intérêt de la vérification par empreinte digitale.

Ces informations seraient-elles suffisantes pour confirmer la clé et lui donner une confiance totale ?

Oui et non. Vous pouvez confirmer la validité de la clé, mais définir la confiance d'une clé n'est pas la même chose - cela permet en fait à cette clé de contribuer à la validité de la clé. autre (c'est ainsi que se construit le "réseau de confiance").

Si vous ne connaissez pas la personne (ou en particulier si vous ne connaissez pas ses pratiques PGP), vous ne devriez pas accorder de confiance à ses clés. Il suffit de marquer la clé comme valide, en utilisant --lsign-key <fingerprint> si vous voulez qu'il soit uniquement local, ou en utilisant --sign-key si vous voulez publier la "confirmation".

Répondu el 13 de Mai, 2018 par James Mertz (390 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X