Como verificar uma chave GPG importada

Eu sou novo nessa coisa de PGP. Aqui estão minhas perguntas: Verificação
Quando faço isso, recebo a mensagem "Esta chave não é certificada com uma assinatura confiável". Existe alguma maneira de torná-lo confiável e melhor ainda? Qual é a maneira correta de fazer isso?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Gerenciando chave
Eu baixei e salvei uma chave pública como isc.public.key e a importei usando o seguinte comando:

gpg –import isc.public.key

Tenho certeza de que há uma data de validade, então como faço o seguinte:

1. Descobrir quando ele expira? De fato, o GPG me diz quando a chave que eu importei já expirou quando eu faço um "gpg --verify"?
2. Atualize a chave. Preciso excluir a chave e reimportar quando isso acontecer?

Obrigado!

Quando faço isso, recebo a mensagem "Esta chave não está certificada com uma assinatura confiável". Existe alguma maneira de torná-lo confiável e melhor ainda? Qual é a maneira correta de fazer isso?

Uma "assinatura confiável" é uma assinatura de uma chave em que você confia, porque (a) você pessoalmente verificou que pertence à pessoa a quem afirma pertencer ou (b) porque foi assinada por uma chave que você confia, possivelmente através de uma série de chaves intermediárias.

Você pode editar o nível de confiança das chaves executando "gpg --edit-key" e, em seguida, usando o trustcomando Esta seção do manual do GPG discute a confiança das chaves e vale a pena ler: boa segurança é difícil.

Observe que o aviso "Esta chave não é certificada com uma assinatura confiável" basicamente significa "este item pode ter sido assinado por qualquer pessoa". Posso criar uma chave que alega ser "Internet Systems Consortium, Inc. (chave de assinatura, 2013)" e assinar as coisas com ela, e a GPG alegremente confirmará que sim, as coisas que assinei foram assinadas com minha chave. Para evitar esse problema, você presumivelmente baixaria a chave ISC GPG do site e confiava em última análise ("Acredito que esta entidade pode se certificar") ou a assina com sua chave privada, em última análise, confiável. Sem o gerenciamento adequado da confiança-chave, a verificação de assinaturas é basicamente um teatro.

Descobrir quando ele expira?

A execução gpg -k <keyid>mostrará quando uma chave expirar. Por exemplo, criei uma chave que expira amanhã e gpg -k <keyid>me fornece:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Você pode ver que as datas de vencimento nas subchaves estão claramente marcadas. Observe que as subchaves usadas para assinatura e criptografia podem ter datas de validade diferentes da chave primária. Você pode ler mais sobre subchaves aqui .

De fato, o GPG me diz quando a chave que eu importei já expirou quando eu faço um "gpg --verify"?

Sim, o GPG notificará você sobre uma chave expirada. Observe que isso não representa necessariamente um problema: a assinatura era válida quando o documento foi assinado.

Atualize a chave. Preciso excluir a chave e reimportar quando isso acontecer?

Você deve ter seu ambiente GPG configurado para usar um servidor de chaves e executar periodicamente gpg --refresh-keys. Isso atualizará todas as chaves do seu chaveiro com novas informações do servidor de chaves, que podem incluir:

• novas datas de validade
• assinaturas adicionais na chave

Se uma pessoa ou organização começar a usar uma nova chave, basta adicioná-la ao seu chaveiro - não será necessário excluir a chave existente.