短い
GPGは6ヶ月前にはそうでした(Ubuntu 18.04)、インポートされた公開鍵の署名はもう受け取りません(Ubuntu 20.04を使用)。私は何が間違っているのか分かりません。
長い
3月にフォローしました。これUbuntu ISOをチェックするミニHOW-TO。 ISOファイルを確認するためにチェックサムファイルに署名した公開鍵をインポートすると、この新しい鍵に72の署名があることを示すメッセージが表示されます。指紋を見つけて72個の公開鍵をインポートできるように、この鍵の署名をリストしました。その後、信頼できるキーが見つかるまで(すべてを理解した場合)、信頼チェーンを上に移動できます。
ところで今日でOSを再インストールするのでGPGキーがすべて削除されました。これで同じ操作を実行すると、最初にインポートされた公開鍵はまったく署名されません。それでは、どのように信頼の鎖を上に上げることができますか?
私が逃したものはありますか?ご協力ありがとうございます。
違いを確認するために、3月と今日実行されたコマンドは次のとおりです。
1)Ubuntu 18.04を使用した3月のコマンド(例を挙げるために今コピーしました):
$ gpg --keyserver hkps://keyserver.ubuntu.com --recv-keys 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: key D94AA3F0EFE21092: 2 duplicate signatures removed
gpg: key D94AA3F0EFE21092: 72 signatures not checked due to missing keys
gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ gpg --list-signatures 843938DF228D22F7B3742BC0D94AA3F0EFE21092
pub rsa4096/D94AA3F0EFE21092 2012-05-11 [SC]
843938DF228D22F7B3742BC0D94AA3F0EFE21092
uid [ unknown] Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>
sig 3 D94AA3F0EFE21092 2012-05-11 Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>
sig 0BFB847F3F272F5B 2012-05-11 [User ID not found]
sig 393587D97D86500B 2012-05-11 [User ID not found]
sig 5759F35001AA4A64 2012-05-12 [User ID not found]
...
2)現在のUbuntu 20.04を使用するためのコマンド
$ gpg --keyserver hkps://keyserver.ubuntu.com --recv-keys 843938DF228D22F7B3742BC0D94AA3F0EFE21092
gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported
gpg: Total number processed: 1
gpg: imported: 1
$ gpg --list-signatures 843938DF228D22F7B3742BC0D94AA3F0EFE21092
pub rsa4096 2012-05-11 [SC]
843938DF228D22F7B3742BC0D94AA3F0EFE21092
uid [ unknown] Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>
sig 3 D94AA3F0EFE21092 2012-05-11 Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>
$
今日私たちが見ることができるように、署名の数はもはや72ではありません。
答え1
悲しいことに、これが私たちが良いことをすることができない一般的な理由です。誰かがGPGエコシステムを乱用する方法を見つけ、実際にそれをやったからです。
SKSキーサーバーネットワークには長年にわたって既知の脆弱性があり、2019年半ばに誰かが偽のユーザーIDを追加したり、証明書を取り消した後、正当なユーザーの公開鍵を再送信したり、単に証明書を追加したりして大量に悪用する始めました。無言の量の署名キー。
https://code.firstlook.media/the-death-of-sks-pgp-keyservers-and-how-first-look-media-is-handling-it
https://gist.github.com/rjhansen/67ab921ffb4084c865b3618d6955275f
その結果、GPGは「信頼ネットワーク」に重大な損傷を与え、GPGは「中毒」キー、失効した証明書、および署名にさらに注意を払うように更新する必要がありました。新しくインストールすると、GPGのデフォルト設定は(希望的に)新しい状況に適応します。
ダメージを軽減するために、新しいキーサーバーの実装である「Hagrid」は、キーからすべての(非磁気)署名を削除し、ユーザーIDをキーに関連付けるために二重オプトインチェックを要求します。残念ながら、これは信頼チェーンの再構築を複雑にします。キーサーバーから実際のキーマテリアルを取得できますが、キーに関連付けられているIDを信頼できることを確認するには、さらに多くの作業を行う必要があります。