是否有使用curl 或wget 搜索和导入pgp 密钥的标准方法?
我正在使用 gpg 签名的 shasum256 文件验证下载,并遇到了尝试验证 gpg 指纹的问题。
因此,标准方法是使用运行gpg --recv-key KEYID时显示的方法gpg --verify <file>.asc <file>,自动从公共同步密钥服务器导入公钥。但 gpg 现在作为代理运行,并使用 dirmngr 来调解此传输。不幸的是,dirmngr 始终无法支持网络代理的使用,因此我只能尝试使用网络服务和curl 进行搜索和下载。
使用密钥服务器池执行此操作可以进一步确保您正在下载的密钥文件在该池中是合法的。但是,如果用户使用 https 跨多个托管密钥服务提供商下载密钥文件并验证密钥文件是否全面相似,也可以完成此操作。
那么,是否有具有休息端点的站点,我可以仅使用 keyid 进行调用并获得良好的 ascii 装甲结果?
答案1
有一些服务器提供对指纹的 HTTP 访问,例如 key2.kfwebs.net;这将为您提供封装在简单 HTML 中的装甲密钥:
curl 'http://keys2.kfwebs.net/pks/lookup?op=get&search=0xdb221a6900000011'
将下载整个页面,
curl 'http://keys2.kfwebs.net/pks/lookup?op=get&search=0xc465beb43c11b337' |
awk '/^-----BEGIN/ { inblock = 1 } /^-----END/ { inblock = 0; print} inblock'
将提取公钥。
你也可以看看适应帕尔西莫尼耶,一个通过 Tor 刷新密钥环的工具,可以解决您的代理问题。
意识到一些钥匙已中毒,所以盲目地从密钥服务器导入密钥并不是一个好主意(实际上并不是这样)。还要确保始终检查完整指纹,并使用长密钥标识符。