GPG:不再有新导入密钥的签名

tag-icon tag-icon security gpg signature
GPG:不再有新导入密钥的签名

短的

GPG 不再获得导入的公钥的签名(使用 Ubuntu 20.04),而它在 6 个月前(使用 Ubuntu 18.04)获得了签名。我不明白出了什么问题。

长的

三月,我跟随迷你 HOW-TO 以验证 Ubuntu ISO。当我导入对校验和文件进行签名的公钥来验证 ISO 文件时,我收到一条消息说这个新密钥有 72 个签名。我列出了这个密钥的签名,这样我就可以找到指纹并导入这 72 个公钥。依此类推,我可以沿着信任链向上移动,直到找到可信的密钥(如果我理解一切)。

但从今天起,我重新安装了操作系统,因此所有 GPG 密钥都已被删除。现在,当我进行相同的操作时,第一个导入的公钥根本没有签名。那么我怎样才能提升信任链呢?

我有什么遗漏的吗?感谢您的帮助。

以下是 3 月份和今天执行的命令,以查看差异。

1)3月份使用Ubuntu 18.04的命令(是的,我此时复制它是为了有一个例子):

$ gpg --keyserver hkps://keyserver.ubuntu.com --recv-keys 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: key D94AA3F0EFE21092: 2 duplicate signatures removed
gpg: key D94AA3F0EFE21092: 72 signatures not checked due to missing keys
gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ gpg --list-signatures 843938DF228D22F7B3742BC0D94AA3F0EFE21092
pub   rsa4096/D94AA3F0EFE21092 2012-05-11 [SC]
      843938DF228D22F7B3742BC0D94AA3F0EFE21092
uid                 [ unknown] Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>
sig 3        D94AA3F0EFE21092 2012-05-11  Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>
sig          0BFB847F3F272F5B 2012-05-11  [User ID not found]
sig          393587D97D86500B 2012-05-11  [User ID not found]
sig          5759F35001AA4A64 2012-05-12  [User ID not found]
...

2) 今天使用 Ubuntu 20.04 的命令

$ gpg --keyserver hkps://keyserver.ubuntu.com --recv-keys 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported
gpg: Total number processed: 1
gpg:               imported: 1
$ gpg --list-signatures 843938DF228D22F7B3742BC0D94AA3F0EFE21092
pub   rsa4096 2012-05-11 [SC]
      843938DF228D22F7B3742BC0D94AA3F0EFE21092
uid           [ unknown] Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>
sig 3        D94AA3F0EFE21092 2012-05-11  Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>

$

正如我们今天所看到的,签名数量已不再有 72 个。

答案1

可悲的是,这就是为什么我们不能拥有美好事物的常见原因:有人发现了如何滥用 GPG 生态系统,然后就这么做了。

SKS 密钥服务器网络多年来一直存在已知漏洞,在 2019 年中期,终于有人开始大量利用这些漏洞,在添加虚假用户 ID 或吊销证书后重新提交合法用户的公钥,或者简单地添加荒谬数量的签名键。

https://code.firstlook.media/the-death-of-sks-pgp-keyservers-and-how-first-look-media-is-handling-it

https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f

结果,GPG“信任网络”受到了一些重大损害,GPG 必须进行更新,以更加小心“中毒”密钥、吊销证书和签名。在新安装中,GPG 的默认设置现在将(希望)适应新情况。

为了减轻损害,新的密钥服务器实现“Hagrid”会从密钥中删除所有(非自身)签名,并且为了将用户 ID 附加到密钥,需要双重选择加入验证。可悲的是,这使信任链的重建变得复杂。您仍然可以从密钥服务器获取实际的密钥材料,但您需要自己做更多的工作来确定您是否信任与密钥关联的身份。

相关内容