Recentemente, ho scaricato diverse chiavi pubbliche con gpg, al fine di correggere il sistema di pacchetti Debian dopo l'aggiornamento a Stretch. I comandi erano:
# gpg --recv-keys EF0F382A1A7B6500
# gpg --recv-keys 8B48AD6246925553
# gpg --recv-keys 7638D0442B90D010
Quelle chiavi sono state importate correttamente nel mio mazzo di chiavi GPG. Tuttavia, vorrei verificare se non sono stati manomessi all'interno del processo. Se controllo una di queste chiavi con questo comando
# gpg --check-sigs 8B48AD6246925553
Potrei dichiarare che contiene una firma valida, in base all'output del processo:
gpg: 1 good signature
gpg: 25 signatures not checked due to missing keys
pub rsa4096 2012-04-27 [SC] [caduca: 2020-04-25]
A1BD8E9D78F7FE5C3E65D8AF8B48AD6246925553
uid [desconocida] Debian Archive Automatic Signing Key (7.0/wheezy) <[email protected]>
sig!3 8B48AD6246925553 2012-04-27 Debian Archive Automatic Signing Key (7.0/wheezy) <[email protected]>
Il letterale sig! 3 indica che la firma è buona, ma fidarsi marginalmente delle firme relative a questa chiave mi dà questo risultato:
# gpg --list-sigs 8B48AD6246925553
pub rsa4096 2012-04-27 [SC] [caduca: 2020-04-25]
A1BD8E9D78F7FE5C3E65D8AF8B48AD6246925553
uid [desconocida] Debian Archive Automatic Signing Key (7.0/wheezy) <[email protected]>
sig 3 715ED6A07E7B8AC9 2012-04-27 [ID de usuario no encontrado]
sig 040BA4EB3B7F81DA 2016-02-16 [ID de usuario no encontrado]
...
(up to 25 signatures not checked)
La mia domanda è: GPG controlla la nuova chiave scaricata e le sue firme su una chiave più vecchia (e già esistente) sul mio sistema? C'è un modo per convalidare che la firma con ID 715ED6A07E7B8AC9 sia valida? (Potrei calcolare un hash su qualsiasi file e confrontarlo con una nuova installazione di Debian su un altro computer)