我浏览过两个 Stack Exchange 问答和两个 GPG 邮件列表帖子。我似乎无法清除“警告:此密钥未经可信签名认证!”。我现在想禁用它,因为我似乎无法清除它。
GnuPG 显示问题出在完整性检查,但他们没有说如何修复它。他们确实说:
那么您就有我们的密钥的副本,并且签名是有效的,但您没有将密钥标记为受信任的,或者密钥是伪造的。
通过我的观察,gpg.conf我没有看到任何可以抑制如下所示的无用警告的方法。
我如何隐藏某个键的消息?
消息如下。我已经标记9306CC77子项971EDE93为可信。我注销并重新登录。我还重新启动了服务器。我准备开始处理另一个问题。
# ~/do-update.sh
=> Fetching new catalog and descriptions (http://mirror.opencsw.org/opencsw/testing/i386/5.11) if available ...
Checking integrity of /var/opt/csw/pkgutil/catalog.mirror.opencsw.org_opencsw_testing_i386_5.11 with gpg.
gpg: Signature made Sat Apr 20 06:10:03 2019 EDT using DSA key ID 9306CC77
gpg: Good signature from "OpenCSW catalog signing <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 4DCE 3C80 AAB2 CAB1 E60C 9A3C 05F4 2D66 9306 CC77
==> 4013 packages loaded from /var/opt/csw/pkgutil/catalog.mirror.opencsw.org_opencsw_testing_i386_5.11
答案1
任何告诉你使用--edit-key <id> trust来隐藏此警告的页面通常都是完全错误的方向。令人困惑的消息实际上有没事做用钥匙相信设置。可信签名是指由有效的钥匙:
密钥有效性定义该密钥是否属于其声称的人。
密钥信任定义此密钥是否允许签名其他键(信任网)。换句话说,一个受信任的密钥可以充当 CA,并以传递方式将其他密钥标记为有效。
因此,为了抑制每个密钥上的“不受信任的签名”警告,您必须将密钥标记为有效(因为这实际上是此警告的目的)。
要将密钥标记为有效,通常符号它:
gpg --lsign-key "4DCE 3C80 AAB2 CAB1 E60C 9A3C 05F4 2D66 9306 CC77"
或者如果您已启用“tofu”或“tofu+pgp”信任模型,您也可以执行以下操作:
gpg --tofu-policy good "4DCE 3C80 AAB2 CAB1 E60C 9A3C 05F4 2D66 9306 CC77"
现在您应该在 --list-keys 或 --edit-key 中看到以下内容:
出版 dsa1024/05F42D669306CC77
创建时间:2011-08-31 到期时间:永不 使用方式:SC
信任:未知 有效性:完整
还有一个配置选项可以抑制此警告所有键;它被称为trust-model always。这意味着 GnuPG 的行为就像所有密钥都由完全受信任的密钥签名一样。
最后,子密钥既没有信任设置也没有有效性设置,它们只是加密参数的容器,因此它们从主密钥继承这一点。