GPG自動キー検索によるセキュリティ

Question

自動キー検索を使用しても、パッケージ構築プロセス自体は安全です。validpgpkeys指紋全体を一覧表示し、自動的に検索されたキーを正確にする必要があります。自動キー検索の影響を受ける主なユースケースは、請求に対する不要な変更を検出することです。ただし、これらの変更はキーリングに必要なキーがないと文句を言うだけvalidpgpkeysでなく、とにかく手動で確認する必要があります。gpg

このauto-key-retrieveオプションは実際にグローバルであるため、有効にすると、キーリングにないキーにgpg関連するすべての対話がプライマリキーサーバーからそのキーをダウンロードすることを意味します。これによって生じる実際の違いは、2つの要素、つまりキーを手動でダウンロードするときに実行される確認と、キーとダウンロード中のキーが関連付けられているかどうかによって異なります。明らかに、もしいつもキーリングにキーを追加する前に、帯域外キーを確認してください。自動キー検索を有効にしたくありません。使用するキーが接続されていて信頼情報を使用する場合、その情報はキーのソースに関係なく有効であるため、自動キー検索は安全です。これら2つの極端な間で指紋全体を使用する場合、自動キー検索も安全であると考えられます。そうでない場合、キーに関連するリスクはソースに関係なく同じです。例えば実際の鍵所有者が署名した邪悪な鍵で署名されたものを受け入れるか、悪い場合は他の人に送信したと考えて、邪悪な鍵で何かを暗号化します。

実際、最も注意すべき点auto-key-retrieveは手動:

このオプションを使用すると、「ネットワークエラー」などの動作が可能になります。キーサーバーまたはWebキーディレクトリオペレータはあなたが要求したキーを見ることができるので、新しいキー（もちろんローカルキーリングにはありません）で署名されたメッセージを送信すると、オペレータはあなたのIPアドレスとキーを知ることができます。署名を確認した時間です。

Answer 1

自動キー検索を使用しても、パッケージ構築プロセス自体は安全です。validpgpkeys指紋全体を一覧表示し、自動的に検索されたキーを正確にする必要があります。自動キー検索の影響を受ける主なユースケースは、請求に対する不要な変更を検出することです。ただし、これらの変更はキーリングに必要なキーがないと文句を言うだけvalidpgpkeysでなく、とにかく手動で確認する必要があります。gpg

このauto-key-retrieveオプションは実際にグローバルであるため、有効にすると、キーリングにないキーにgpg関連するすべての対話がプライマリキーサーバーからそのキーをダウンロードすることを意味します。これによって生じる実際の違いは、2つの要素、つまりキーを手動でダウンロードするときに実行される確認と、キーとダウンロード中のキーが関連付けられているかどうかによって異なります。明らかに、もしいつもキーリングにキーを追加する前に、帯域外キーを確認してください。自動キー検索を有効にしたくありません。使用するキーが接続されていて信頼情報を使用する場合、その情報はキーのソースに関係なく有効であるため、自動キー検索は安全です。これら2つの極端な間で指紋全体を使用する場合、自動キー検索も安全であると考えられます。そうでない場合、キーに関連するリスクはソースに関係なく同じです。例えば実際の鍵所有者が署名した邪悪な鍵で署名されたものを受け入れるか、悪い場合は他の人に送信したと考えて、邪悪な鍵で何かを暗号化します。

実際、最も注意すべき点auto-key-retrieveは手動:

このオプションを使用すると、「ネットワークエラー」などの動作が可能になります。キーサーバーまたはWebキーディレクトリオペレータはあなたが要求したキーを見ることができるので、新しいキー（もちろんローカルキーリングにはありません）で署名されたメッセージを送信すると、オペレータはあなたのIPアドレスとキーを知ることができます。署名を確認した時間です。

GPG自動キー検索によるセキュリティ

ベストアンサー1

おすすめ記事