我正在尝试弄清楚如何在一个命令中执行以下操作。
我有一个 ISO 映像及其签名文件 *.sig。我尝试通过 GnuPG 2 对其进行验证,但它报告缺少公钥,并给出了它的指纹。我已使用以下命令成功检索密钥
gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>
但当我检查钥匙时
gpg2 --edit-key <KEY ID>
其次是
gpg> check
我收到了这条消息:
27 signatures not checked due to missing keys
我如何检索所有这些密钥来检查我获得的密钥是否可信?
答案1
您并不是缺少 ISO 签名的密钥,而是缺少在签署图像的密钥上颁发认证的密钥。
GnuPG 不会递归下载其他密钥,您必须自行执行此操作(例如,通过运行命令行,如您在评论中建议的那样)。但请注意,其他密钥提供的证书尚未断言密钥的有效性,因此很容易生成整个密钥网络,甚至可以模仿真实的 OpenPGP 信任网络,如在邪恶32攻击。如果您想通过检查认证来验证某个密钥,请始终构建一条以您自己的密钥(或通过其他媒介验证的其他密钥,例如通过与该人会面)结束的信任路径。