检索对我拥有的密钥进行签名的公钥

Question

我想弄清楚如何在一个命令中执行以下操作。

我有一个 ISO 映像及其签名文件 *.sig。我试图通过 GnuPG 2 验证它，但它报告了一个丢失的公钥给我它的指纹。我已使用以下方法成功检索到密钥

gpg2 --keyserver hkp://keys.gnupg.net --recv-key <fingerprint>

但是当我检查钥匙时

gpg2 --edit-key <KEY ID>

其次是

gpg> check

我收到了这条消息：

27 signatures not checked due to missing keys

如何检索所有这些密钥以检查我获得的密钥是否可信？

Answer 1

您并不是缺少 ISO 签名的密钥，而是缺少对签署映像的密钥颁发认证的密钥。

GnuPG 不会递归下载其他密钥，您必须自己执行此操作（例如，通过运行您在评论中建议的命令行）。但请注意，其他密钥提供的证书尚未断言该密钥有效，很容易生成整个密钥网络，甚至模仿真实的 OpenPGP 信任网络，如 Evil 32攻击中所执行的那样。如果您想通过检查认证来验证某个密钥，请始终构建一条以您自己的密钥（或您通过其他媒介验证的其他密钥，例如通过与该人会面）结束的信任路径。