如果我想验证一个我经常下载和验证其包的项目的签名,我签署该项目的签名密钥是否合理?
目前,我使用 GPG 验证签名,然后我必须手动检查签名指纹与在线发布的指纹。这是签署密钥的正确用例吗?我在信任网络中没有朋友可以信任这些密钥。
当然,我从来没有亲自见过任何人来验证密钥,但我已经在几周内验证了同一密钥的多个签名。我想我可以合理地确定签名密钥是他们的。
我应该签署项目的 PGP 密钥吗?
信息安全
公钥基础设施
pgp
gnupg
2021-08-27 15:27:55
2个回答
如果您信任您的项目下载及其签名,您可以通过签署项目的 PGP 密钥来反映这种信任。因此,稍后您将知道您信任此密钥。
但是,如果您不确定是否信任此项目密钥,请不要对其进行签名。
您是否信任项目的密钥是您自己的选择。使用 PGP 只是保持信任的一种方式。
如果您不与任何人共享密钥,则签名纯粹是为了您的方便和娱乐。我有一个专门用于验证项目签名的 gpg 配置文件,并且我确实签署了我下载的项目密钥。根据您获取密钥的方式应用适当的信任级别也可能是谨慎的。
您的朋友可能有兴趣重用您所做的工作,您甚至可以与您如何获得它们的免责声明分享您签名的项目密钥!