当前位置: 首页>>技术教程>>正文


gnupg – 为什么 gpg 变得不高兴,我该如何阻止它?

问题描述

我最近从一个 Ubuntu 安装迁移到另一个,并在此过程中更改了我的用户名。我将我的公钥/私钥对导入到 gpg 中,虽然解密(使用我的私钥)工作正常,但每当我尝试使用我的公钥为自己加密某些内容时,我都会收到以下警告消息:

It is NOT certain that the key belongs to the person named
in the user ID.  If you *really* know what you are doing,
you may answer the next question with yes.

之后它问我是否真的要使用密钥(我总是回答 “yes”,因为它实际上是我钥匙圈中唯一的密钥而且我知道它来自哪里)。我可以很好地解密东西,那么为什么 gpg 在我尝试加密某些东西时会发出嘶嘶声?以及如何防止此消息再次出现?

最佳思路

我遇到了同样的问题,但我无法再访问旧密钥。因此,您可以通过以下方式重新创建对旧密钥的信任:

gpg --edit-key YOUR@KEY.ID
gpg> trust
Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately
  m = back to the main menu

Your decision? 5
Do you really want to set this key to ultimate trust? (y/N) y

次佳思路

我设法重现了您遇到的问题。我这样做是为了做到以下几点:

$ gpg --no-default-keyring --keyring ./test-keyring  --secret-keyring ./test-secring --trustdb-name ./test-trustdb --no-random-seed-file --gen-key

<specified parameters and let it do its thing>

gpg: key 58018BFE marked as ultimately trusted
public and secret key created and signed.

<snip>

$

请注意,该过程将密钥标记为 “ultimately trusted”。

现在我导出密钥:

$gpg --no-default-keyring --keyring ./test-keyring  --secret-keyring ./test-secring --trustdb-name ./test-trustdb --no-random-seed-file --export-secret-keys -a >private.key

$gpg --no-default-keyring --keyring ./test-keyring  --secret-keyring ./test-secring --trustdb-name ./test-trustdb --no-random-seed-file --export -a > public.key

现在我导入到一个新的 gpg 数据库:

$gpg --no-default-keyring --keyring ./test2-keyring  --secret-keyring ./test2-secring --trustdb-name ./test2-trustdb --no-random-seed-file --import public.key

$gpg --no-default-keyring --keyring ./test2-keyring  --secret-keyring ./test2-secring --trustdb-name ./test2-trustdb --no-random-seed-file --import private.key

现在,如果我尝试使用新的密钥环进行加密,我会得到:

$ gpg --no-default-keyring --keyring ./test2-keyring  --secret-keyring ./test2-secring --trustdb-name ./test2-trustdb --no-random-seed-file -r Fake -e
gpg: AE3034E1: There is no assurance this key belongs to the named user

pub  1024R/AE3034E1 2013-06-13 Fake User <fake@example.com>
 Primary key fingerprint: AD4D BAFB 3960 6F9D 47C1  23BE B2E1 67A6 5801 8BFE
      Subkey fingerprint: 58F2 3669 B8BD 1DFC 8B12  096F 5D19 AB91 AE30 34E1

It is NOT certain that the key belongs to the person named
in the user ID.  If you *really* know what you are doing,
you may answer the next question with yes.

这样做的原因是“信任网络”模型。默认情况下,为了使公钥可信,它需要 1 个 “ultimate” 信任证书(通常是您亲自验证了相关人员的身份)或 3 个 “marginal” 信任证书(您认识的人,您认识的人)知道……已经签署了证书)。

因为 gpg 是一个安全应用程序,所以如果您尝试加密到未列为受信任的密钥,它会警告您。在这种情况下,您自己的密钥不受信任的原因很简单。这是因为您没有从之前的 gpg 实例中导出信任关系。为此,请使用 –export-ownertrust 和 –import-ownertrust 命令。

一如既往,请参阅 the man page

第三种思路

您可以使用 --always-trust 标志跳过此消息。

参考资料

本文由Ubuntu问答整理, 博文地址: https://ubuntuqa.com/article/13389.html,未经允许,请勿转载。