Lorsque je fais cela, je reçois le message suivant : "Cette clé n'est pas certifiée avec une signature de confiance". Existe-t-il un moyen de la rendre fiable et, mieux encore, quelle est la bonne manière de le faire ?
Une "signature de confiance" est une signature provenant d'une clé en laquelle vous avez confiance, soit (a) parce que vous avez personnellement vérifié qu'elle appartient à la personne à laquelle elle prétend appartenir, soit (b) parce qu'elle a été signée par une clé en laquelle vous avez confiance, éventuellement par le biais d'une série de clés intermédiaires.
Vous pouvez modifier le niveau de confiance des clés en exécutant "gpg --edit-key ", puis en utilisant la commande trust commande. Cette section du manuel GPG traite de la confiance dans les clés et vaut la peine d'être lu : une bonne sécurité est difficile.
Notez que l'avertissement "Cette clé n'est pas certifiée avec une signature de confiance" signifie en fait "cette chose aurait pu être signée par n'importe qui". Je peux créer une clé qui prétend être pour "Internet Systems Consortium, Inc. (Signing key, 2013) ", et signer des choses avec elle, et GPG confirmera joyeusement que oui, les choses que j'ai signées ont été signées avec ma clé. Pour éviter ce problème, vous devriez vraisemblablement télécharger la clé GPG de l'ISC à l'adresse suivante le site web et soit lui faire confiance en dernier ressort ("Je crois que cette entité peut se certifier elle-même"), soit la signer avec votre clé privée de confiance en dernier ressort. Sans une gestion appropriée de la confiance dans les clés, la vérification de la signature relève essentiellement du théâtre.
Connaître la date d'expiration ?
La course à pied gpg -k <keyid> vous indiquera la date d'expiration d'une clé donnée. Par exemple, j'ai créé une clé qui expire demain, et gpg -k <keyid> me donne :
$ gpg -k 0xD4C2B757C3FAE256
pub 2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid [ultimate] Test User <testuser@example.com>
sub 2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]
Vous pouvez constater que les dates d'expiration des sous-clés sont clairement indiquées. Notez que les sous-clés utilisées pour la signature et le chiffrement peuvent avoir des dates d'expiration différentes de celles de la clé principale. Pour en savoir plus sur les sous-clés aquí .
En fait, GPG me dit quand la clé que j'ai importée a déjà expiré quand je fais "gpg --verify" ?
Oui, GPG vous informera de l'expiration d'une clé. Notez que cela ne représente pas nécessairement un problème : la signature était valide lorsque le document a été signé.
Mettre à jour la clé. Dois-je supprimer la clé et la réimporter lorsque cela se produit ?
Votre environnement GPG doit être configuré pour utiliser un serveur de clés, et vous devez exécuter périodiquement la commande gpg --refresh-keys . Cette opération met à jour toutes les clés de votre trousseau avec les nouvelles informations provenant du serveur de clés, qui peuvent inclure
- nouvelles dates d'expiration
- signatures supplémentaires sur la clé
Si une personne ou une organisation commence à utiliser une nouvelle clé, il vous suffit de l'ajouter à votre trousseau, sans avoir à supprimer la clé existante.
