Gpg4win 安装程序签名验证:如何修复“警告:此密钥未经受信任签名认证!”

tag-icon tag-icon certificate security-warning gpg4win signature certificate-signing-request
Gpg4win 安装程序签名验证:如何修复“警告:此密钥未经受信任签名认证!”

我正在按照 Gpg4win 的“OpenPGP 签名”安装指南进行操作检查 Gpg4win 包的完整性

也关注过额外的建议如何首先导入 Gpg4win 公钥,我最终收到一条警告,该警告已在旁注答案中提及如何使用.sig 文件验证下载的文件?,但不会产生新的问题:

gpg: Good signature from "Intevation File Distribution Key <[email protected]>" [unknown] 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg:          There is no indication that the signature belongs to the owner. Primary key fingerprint: 13E3 CE81 AFEA 6F68 3E46  6E0D 42D8 7608 2688 DA1A

克利奥帕特拉也说

  • “所用的挡风玻璃将使我感到另一个被忽视的挡风玻璃受到损坏。”
  • 翻译:“所使用的密钥尚未经过您或任何其他受信任密钥的验证。”

在此处输入图片描述

来自的建议如何抑制“警告:此密钥未经受信任签名认证!”在我的情况下并没有删除警告:

C:\Users\USERNAME\Downloads\gpg4win>gpg --lsign-key "13E3 CE81 AFEA 6F68 3E46  6E0D 42D8 7608 2688 DA1A"

输出:

pub  rsa3072/42D876082688DA1A                                                                                                 
erzeugt: 2016-11-03  verfällt: 2021-11-02  Nutzung: SC                                                                  
Vertrauen: unbekannt     Gültigkeit: unbekannt                                                                     
[ unbekannt ] (1). Intevation File Distribution Key <[email protected]>                                                                                                                                                            
gpg: no default secret key: Kein geheimer Schlüssel                                                                                                                                                                                             
Schlüssel ist nicht geändert worden, also ist kein Speichern nötig.

或用英语翻译www.DeepL.com/Translator(免费版本):

pub rsa3072/42D876082688DA1A 
created: 2016-11-03 expires: 2021-11-02 usage: SC 
trust: unknown 
validity: unknown 
[ unknown ] (1). Intevation File Distribution Key <[email protected]> 
gpg: no default secret key: No secret key 
Key has not been changed, so no save is needed.

再次检查“验证”脚本会引发相同的警告:

C:\Users\USERNAME\Downloads\gpg4win>gpg --verify gpg4win*.exe.sig gpg4win*.exe                                                     

gpg: Signatur vom 25.11.2020 13:39:05 Mitteleuropõische Zeit                                                            
gpg:                mittels RSA-Schlüssel 13E3CE81AFEA6F683E466E0D42D876082688DA1A                                          
gpg: Korrekte Signatur von "Intevation File Distribution Key <[email protected]>" [unbekannt]              
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!                                                  
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.                       Haupt-Fingerabdruck  = 13E3 CE81 AFEA 6F68 3E46  6E0D 42D8 7608 2688 DA1A

如何修复该警告?

附注:我发现其中一个签名验证点未得到满足。这可能是原因吗?它显示证书有效期至 2022 年 4 月 30 日星期六 17:54:41,但Gpg4win 网站让您检查代码签名证书是否在当天 16:54:41 之后有效。

未结束时间:2022-04-30 16:54:41

在此处输入图片描述

答案1

如何抑制“警告:此密钥未通过受信任的签名认证!”的建议并没有消除我所遇到的警告:

从技术上讲,你没有实施建议。你可以在输出中看到,该命令没有执行任何操作,因为它无法找到私钥对——所以什么都没有发生即使运行了该命令:

gpg: no default secret key: Kein geheimer Schlüssel
gpg: no default secret key: No secret key 
Key has not been changed,

--lsign-key类似的签名命令使用您的私钥对来签名,因此只有在您导入或生成密钥对后它们才会起作用。

在此之前,只需手动将签名者指纹与--verify您从网站获得的指纹进行比较即可。如果指纹匹配,则可以安全地忽略警告。

附注:我发现其中一个签名验证点未得到满足。这可能是原因吗?它说证书有效期至 2022 年 4 月 30 日星期六 17:54:41,但 Gpg4win 网站允许您检查代码签名证书是否在当天 16:54:41 之后有效。

您处于不同的时区。Windows 会以本地时间显示时间戳,但证书有效性始终以 UTC 时间存储,因此无论您身在何处,证书始终会在同一时刻(16:54:41 UTC)失效。

附注:Authenticode 签名带有时间戳(与 PGP 签名不同),因此一旦文件被签名,即使证书过期后它仍然有效。

相关内容