curlまたはwgetを使用してpgpキーを取得してインポートする標準的な方法はありますか?
ダウンロードを確認するためにgpg署名付きshasum256ファイルを使用していますが、gpg指紋の確認中に問題が発生しました。
したがって、標準的なアプローチは、ランタイムgpg --recv-key KEYID
公開方法を使用してgpg --verify <file>.asc <file>
公開同期キーサーバーから公開鍵を自動的に取得することです。ただし、gpgはプロキシとして実行され、dirmngrを使用してこの転送を仲介します。残念ながら、dirmngrはネットワークプロキシの使用をサポートしていなかったので、検索とダウンロードのためにネットワークサービスとカールを使用してみました。
キーサーバープールを使用してこれを行うと、ダウンロードしているキーファイルがそのプール内で正当であることを確認できます。ただし、これは、ユーザーがhttpsを使用して複数のマネージドキーサービスプロバイダを介してキーファイルをダウンロードし、キーファイルが全体的に似ていることを確認した場合にも実行できます。
それでは、キーIDのみを使用して呼び出して、良いASCIIアーマー結果を得るための残りのエンドポイントを持つサイトがありますか?
答え1
指紋へのHTTPアクセスを提供するサーバーがあります。例えば key2.kfwebs.net;これにより、単純なHTMLでラップされたArmorキーが提供されます。
curl 'http://keys2.kfwebs.net/pks/lookup?op=get&search=0xdb221a6900000011'
全ページをダウンロードして
curl 'http://keys2.kfwebs.net/pks/lookup?op=get&search=0xc465beb43c11b337' |
awk '/^-----BEGIN/ { inblock = 1 } /^-----END/ { inblock = 0; print} inblock'
公開鍵が抽出されます。
適応する姿も見られますよパシモニア、プロキシの問題を解決できるTorを介してキーリングを更新するツールです。
気づく一部の鍵が中毒したがって、キーサーバーからランダムなキーを取得するのは良い考えではありません(実際にはそうではありません)。また、常に確認してください。完全な指紋の確認、長いキー識別子を使用します。