当我的 key 环中有用户以前(现已过期)的公钥时,如何验证用户的扩展公钥文件的完整性(当通过缺乏 secret 性和身份验证的连接下载时)?他们的过期 key 是否有足够的信息来验证扩展 key ?考虑以下场景:
- 我的 key 环中有 Bob 的可信公钥。
- Bob 的 key 昨天已过期,因此他扩展了 key 对并将新的 ascii-armoured 公钥上传到他的网站。
- 我通过 http 下载了 Bob 的新公钥文件,我想验证它。
新的公钥文件是否以可验证的方式用他的旧 key 签名?我如何利用我的 key 环中现有的(过期的) key 验证新 key 文件的完整性?
最佳答案
对于具有新 key 对的一般情况:如果 key 本身由他的旧 key 签名(这是进行此类 key 更改的常用方法)和/或您下载的 key 文件是由他的旧 key 签名的,无论如何您都可以验证和验证签名:所发生的只是 GnuPG 表明 key 已经过期。
但是你写了
Bob's key expired yesterday, so he extended his keypair and uploaded a new ascii-armoured public key to his website
延长 key 的有效性不会产生不同的 key 。它们的 key 由公钥和创建时间戳的元组标识,它们一起散列为 key 的指纹。短 key ID 和长 key ID 都是从中派生出来的。如果他所做的只是延长 key 的有效期,只需导入 key 即可。您对该 key 签发的签名和信任仍然有效。
如果您希望在导入之前至少可以比较长 key ID,请运行
gpg --keyid-format 0xlong [key-file]
并与 key 链中已有的 key 进行比较。
无论如何:不要简单地信任 key 链中的 key ,而是使用签名和信任。许多邮件客户端会自动获取 key 来验证签名,您可能已经获取了一些(未验证的) key 来读取在其他 key 上发布的签名,...
关于linux - 在将公钥导入 GnuPG 之前验证公钥的扩展是否很热门?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34678666/