advertencia de GnuPG para una clave firmada con nivel de confianza 4

6

Al cifrar un documento con una clave pública, recibí una advertencia:

$gpg --encrypt -r 6B7F10E4 file.pdf

It is NOT certain that the key belongs to the person named
in the user ID.  If you *really* know what you are doing,
you may answer the next question with yes.

Use this key anyway? (y/N)

Establecí el nivel de confianza en 4 y firmé la clave:

$ gpg --edit-key 6B7F10E4
gpg> trust
Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

1 = I don't know or won't say
2 = I do NOT trust
3 = I trust marginally
4 = I trust fully
5 = I trust ultimately
m = back to the main menu

Your decision?

4 <Enter>
gpg> sign

Are you sure that you want to sign this key with your
key ... (8F3A3A54)

Really sign? (y/N)

y <Enter>
gpg> save

Pero todavía recibo esa advertencia al cifrar documentos con esa clave. ¿Qué más necesito hacer para eliminarlo?

    
pregunta user4035 28.10.2017 - 12:38
fuente

3 respuestas

4

El mensaje dice que GnuPG no pudo validar la clave emitiendo una firma correcta. En otras palabras, usted sabe que la firma fue efectivamente emitida por una clave privada dada, pero no está seguro de quién realmente emitió esta clave.

La confianza en GnuPG solo es relevante cuando se validan claves basadas en certificaciones en la web de confianza de OpenPGP, también lea en "Qué es el significado exacto de esta salida de gpg con respecto a la confianza? ". El nivel de confianza define cuánto confía en las certificaciones del propietario de la clave en otras claves, pero requiere claves ya validadas. Por ejemplo, si se emitió en una clave ya validada, nivel de confianza cuatro ("confianza total"), de forma predeterminada define todas las claves certificadas por la clave válida y de plena confianza como también válidas.

"La confianza final" (nivel cinco) es especial: se utiliza como introductor al validar claves, por lo tanto hace que la clave sea validada y siempre considera validadas a otras claves certificadas por esta clave. Esto debe nunca usarse en claves que no emita usted mismo, gpg --edit-key y sign otras claves en lugar de emitir confianza ( luego de verificar que la clave pertenece a esa parte ). Si no desea emitir una certificación pública, también existe lsign para emitir firmas locales que GnuPG no exporta al compartir una clave pública.

    
respondido por el Jens Erat 28.10.2017 - 15:01
fuente
2

La advertencia se muestra siempre excepto por sus propias claves (nivel 5), aceptadas por 'per se'.

Los niveles de confianza de gpg se explican aquí: enlace

    
respondido por el OscarAkaElvis 28.10.2017 - 13:38
fuente
1

Has asignado un nivel de confianza a una clave que aún no se ha verificado. La verificación funciona al encontrar una ruta de claves confiables desde una clave con la máxima confianza (que debe ser su propia clave) a través de firmas hechas por claves confiables para la clave que se verifica.

En su caso, la ruta de confianza es bastante corta, ya que ha firmado la clave. Dado que no se muestra como verificado, esto significa que su propia clave no está marcada como confiable.

Al marcar la clave de la otra persona como de confianza, todas las claves que firmen ahora también están marcadas como verificadas.

    
respondido por el Simon Richter 28.10.2017 - 18:28
fuente

Lea otras preguntas en las etiquetas