Cómo verificar una clave GPG importada

Soy nuevo en esto de PGP. Estas son mis preguntas: Verificación
Cuando hago esto, aparece el mensaje "Esta clave no está certificada con una firma de confianza". ¿Hay alguna forma de hacerlo confiable y mejor? ¿Cuál es la forma correcta de hacerlo?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Administración de la clave
Descargué y guardé una clave pública como isc.public.key, y la importé usando el siguiente comando:

gpg –import isc.public.key

Estoy seguro de que hay una fecha de vencimiento, así que, ¿cómo hago lo siguiente?

1. Averigüe cuándo caduca? De hecho, ¿GPG me dice cuándo la clave que he importado ya ha expirado cuando hago un "gpg --verify"?
2. Actualiza la clave. ¿Tengo que eliminar la clave y volver a importar cuando esto sucede?

¡Gracias!

Cuando hago esto, aparece el mensaje "Esta clave no está certificada con una firma de confianza". ¿Hay alguna forma de hacerlo confiable y mejor? ¿Cuál es la forma correcta de hacerlo?

Una "firma de confianza" es una firma de una clave en la que confía, ya sea porque (a) ha verificado personalmente que pertenece a la persona a la que dice pertenecer, o (b) porque ha sido firmada por una clave que confía, posiblemente a través de una serie de claves intermedias.

Puede editar el nivel de confianza de las claves ejecutando "gpg --edit-key" y luego utilizando el trustcomando. Esta sección del manual GPG discute la confianza clave, y vale la pena leerla: una buena seguridad es difícil.

Tenga en cuenta que la advertencia "Esta clave no está certificada con una firma confiable" básicamente significa que "esta cosa podría haber sido firmada por cualquiera". Puedo crear una clave que dice ser para "Internet Systems Consortium, Inc. (Clave de firma, 2013)", y firmar cosas con ella, y GPG confirmará felizmente que sí, las cosas que firmé se firmaron con mi clave. Para evitar este problema, presumiblemente descargaría la clave ISG GPG del sitio web y confiaría en ella ("Creo que esta entidad puede certificarse a sí misma") o la firmará con su clave privada de confianza. Sin una gestión adecuada de la confianza clave, la verificación de firma es principalmente teatro.

Averigüe cuándo caduca?

La ejecución gpg -k <keyid>le mostrará cuándo caduca una clave determinada. Por ejemplo, creé una clave que caduca mañana y gpg -k <keyid>me da:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Puede ver que las fechas de vencimiento de las subclaves están claramente marcadas. Tenga en cuenta que las subclaves utilizadas para la firma y el cifrado pueden tener fechas de caducidad diferentes de la clave principal. Puedes leer más sobre las subclaves aquí .

De hecho, ¿GPG me dice cuándo la clave que he importado ya ha expirado cuando hago un "gpg --verify"?

Sí, GPG le notificará sobre una clave caducada. Tenga en cuenta que esto no representa necesariamente un problema: la firma era válida cuando se firmó el documento.

Actualiza la clave. ¿Tengo que eliminar la clave y volver a importar cuando esto sucede?

Debe tener su entorno GPG configurado para usar un servidor de claves y ejecutarlo periódicamente gpg --refresh-keys. Esto actualizará cualquier clave en su llavero con nueva información del servidor de claves, que puede incluir:

• nuevas fechas de vencimiento
• firmas adicionales en la clave

Si una persona u organización comienza a usar una nueva clave, simplemente la agregará a su llavero, no necesitará eliminar la clave existente.