Ketika saya melakukan ini, saya diberi pesan "Kunci ini tidak disertifikasi dengan tanda tangan tepercaya". Apakah ada cara untuk membuatnya dipercaya dan lebih baik lagi apa cara yang tepat untuk melakukannya?
"Tanda tangan tepercaya" adalah tanda tangan dari kunci yang Anda percayai, baik karena (a) Anda telah memverifikasi secara pribadi bahwa itu milik orang yang mengaku miliknya, atau (b) karena telah ditandatangani oleh kunci yang Anda percaya, mungkin melalui serangkaian tombol perantara.
Anda dapat mengedit tingkat kepercayaan kunci dengan menjalankan "gpg --edit-key", dan kemudian menggunakan trust
perintah. Bagian manual GPG ini membahas kepercayaan utama, dan layak dibaca: keamanan yang baik sulit.
Perhatikan bahwa peringatan "Kunci ini tidak disertifikasi dengan tanda tangan tepercaya" pada dasarnya berarti, "benda ini bisa ditandatangani oleh siapa saja". Saya dapat membuat kunci yang mengklaim untuk "Internet Systems Consortium, Inc. (Signing key, 2013)", dan menandatangani sesuatu dengan itu, dan GPG akan dengan senang hati mengkonfirmasi bahwa ya, hal-hal yang saya tandatangani ditandatangani dengan kunci saya. Untuk menghindari masalah ini, Anda mungkin akan mengunduh kunci ISC GPG dari situs web dan memercayainya pada akhirnya ("Saya percaya entitas ini dapat mensertifikasi dirinya sendiri") atau menandatanganinya dengan kunci pribadi Anda yang akhirnya tepercaya. Tanpa pengelolaan kepercayaan kunci yang tepat, sebagian besar verifikasi tanda tangan adalah teater.
Cari tahu kapan itu kedaluwarsa?
Menjalankan gpg -k <keyid>
akan menunjukkan kepada Anda saat kunci yang diberikan kedaluwarsa. Misalnya, saya membuat kunci yang kedaluwarsa besok, dan gpg -k <keyid>
memberi saya:
$ gpg -k 0xD4C2B757C3FAE256
pub 2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid [ultimate] Test User <testuser@example.com>
sub 2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]
Anda dapat melihat bahwa tanggal kedaluwarsa pada subkunci ditandai dengan jelas. Perhatikan bahwa subkunci yang digunakan untuk penandatanganan dan enkripsi mungkin memiliki tanggal kedaluwarsa yang berbeda dari kunci utama. Anda dapat membaca lebih lanjut tentang subkunci di sini .
Sebenarnya apakah GPG memberi tahu saya ketika kunci yang saya impor sudah kedaluwarsa ketika saya melakukan "gpg --verify"?
Ya, GPG akan memberi tahu Anda tentang kunci yang kadaluwarsa. Perhatikan bahwa ini tidak selalu merupakan masalah: tanda tangan valid ketika dokumen ditandatangani.
Perbarui kuncinya. Apakah saya harus menghapus kunci dan mengimpor kembali ketika ini terjadi?
Anda seharusnya mengonfigurasi lingkungan GPG Anda untuk menggunakan server kunci, dan secara berkala dijalankan gpg --refresh-keys
. Ini akan memperbarui semua kunci dalam kunci Anda dengan informasi baru dari server kunci, yang mungkin termasuk:
- tanggal kedaluwarsa baru
- tanda tangan tambahan pada tombol
Jika seseorang atau organisasi mulai menggunakan kunci baru, Anda hanya akan menambahkannya ke gantungan kunci Anda - Anda tidak perlu menghapus kunci yang ada.
man gpg
akan menjadi awal yang sangat bagus.