avviso GnuPG per una chiave firmata con livello di attendibilità 4

Naviga le tue risposte
6

Durante la crittografia di un documento con una chiave pubblica ho ricevuto un avviso: 

$gpg --encrypt -r 6B7F10E4 file.pdf

It is NOT certain that the key belongs to the person named
in the user ID.  If you *really* know what you are doing,
you may answer the next question with yes.

Use this key anyway? (y/N)

Ho impostato il livello di attendibilità su 4 e ho firmato la chiave: 

$ gpg --edit-key 6B7F10E4
gpg> trust
Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

1 = I don't know or won't say
2 = I do NOT trust
3 = I trust marginally
4 = I trust fully
5 = I trust ultimately
m = back to the main menu

Your decision?

4 <Enter>
gpg> sign

Are you sure that you want to sign this key with your
key ... (8F3A3A54)

Really sign? (y/N)

y <Enter>
gpg> save

Tuttavia ricevo ancora questo avviso quando crittografa i documenti con quella chiave. Cos'altro devo fare per rimuoverlo?

    
posta user4035 28.10.2017 - 12:38
fonte

3 risposte

4

Il messaggio dice che GnuPG non ha potuto convalidare la chiave che ha emesso una firma corretta. Con altre parole, sapete che la firma è stata effettivamente emessa da una determinata chiave privata, ma non sono sicuro di chi abbia effettivamente emesso questa chiave.

La fiducia in GnuPG è rilevante solo quando si convalidano le chiavi in base alle certificazioni nella rete di fiducia di OpenPGP, anche leggendo su "Cosa è il significato esatto di questo output gpg per quanto riguarda la fiducia? ". Il livello di attendibilità definisce la quantità di fiducia nelle certificazioni del proprietario della chiave su altre chiavi, ma richiede chiavi già convalidate. Ad esempio, se emesso su una chiave già convalidata, livello di affidabilità quattro ("attendibilità totale"), per impostazione predefinita è valida anche la validità di tutte le chiavi certificate dalla chiave valida e completa.

"Ultimate trust" (livello cinque) è speciale: viene utilizzato come introduttore durante la convalida delle chiavi, pertanto convalida la chiave e considera sempre convalidate altre chiavi certificate da questa chiave. Questo dovrebbe mai essere utilizzato su chiavi non emesse da te stesso, gpg --edit-key e sign le altre chiavi invece di emettere fiducia ( dopo aver verificato che la chiave appartenga effettivamente a quella parte ). Se non vuoi emettere una certificazione pubblica, c'è anche lsign per l'emissione di firme locali che GnuPG non esporta quando condivide una chiave pubblica.

    
risposta data 28.10.2017 - 15:01
fonte
2

L'avviso viene mostrato sempre ad eccezione delle tue chiavi (livello 5), accettate da "per sé".

I livelli di fiducia dei gpg sono spiegati qui: link

    
risposta data 28.10.2017 - 13:38
fonte
1

Hai assegnato un livello di affidabilità a una chiave che non è ancora stata verificata. La verifica funziona trovando un percorso di chiavi affidabili da una chiave con il massimo affidamento (che dovrebbe essere la tua chiave) attraverso le firme fatte da chiavi attendibili alla chiave verificata.

Nel tuo caso, il percorso di fiducia è piuttosto breve, dal momento che hai firmato la chiave. Poiché non viene visualizzato come verificato, significa che la tua chiave non è contrassegnata come attendibile.

Marcando la chiave dell'altra persona come attendibile, tutti i tasti loro sono ora contrassegnati come verificati.

    
risposta data 28.10.2017 - 18:28
fonte

Leggi altre domande sui tag

Modifica dell'ID di sessione dopo il login Can Let's Encrypt può essere utilizzato da qualcuno come la NSA per rompere efficacemente SSL / TLS?