컬이나 wget을 사용하여 pgp 키를 검색하고 가져오는 표준 방법이 있습니까?
다운로드를 확인하기 위해 gpg 서명된 shasum256 파일을 사용하고 있는데 gpg 지문을 확인하는 동안 문제가 발생했습니다.
따라서 표준 접근 방식은 런타임 gpg --recv-key KEYID노출 방법을 사용하여 gpg --verify <file>.asc <file>공개 동기화 키 서버에서 공개 키를 자동으로 가져오는 것 입니다. 그러나 이제 gpg는 프록시로 실행되며 dirmngr을 사용하여 이 전송을 중재합니다. 불행하게도 dirmngr은 네트워크 프록시 사용을 지원하지 않았기 때문에 검색 및 다운로드를 위해 네트워크 서비스와 컬을 사용해 보았습니다.
키 서버 풀을 사용하여 이 작업을 수행하면 다운로드 중인 키 파일이 해당 풀 내에서 합법적인지 확인할 수 있습니다. 그러나 이는 사용자가 https를 사용하여 여러 관리형 키 서비스 공급자를 통해 키 파일을 다운로드하고 키 파일이 전반적으로 유사한지 확인하는 경우에도 수행될 수 있습니다.
그렇다면 키 ID만 사용하여 호출하고 좋은 ASCII Armor 결과를 얻을 수 있는 나머지 엔드포인트가 있는 사이트가 있습니까?
답변1
지문에 대한 HTTP 액세스를 제공하는 서버가 있습니다.예를 들어 key2.kfwebs.net;이렇게 하면 간단한 HTML로 래핑된 Armor 키가 제공됩니다.
curl 'http://keys2.kfwebs.net/pks/lookup?op=get&search=0xdb221a6900000011'
전체 페이지를 다운로드하고
curl 'http://keys2.kfwebs.net/pks/lookup?op=get&search=0xc465beb43c11b337' |
awk '/^-----BEGIN/ { inblock = 1 } /^-----END/ { inblock = 0; print} inblock'
공개 키가 추출됩니다.
적응하는 모습도 볼 수 있어요파시모니어, 프록시 문제를 해결할 수 있는 Tor를 통해 키링을 새로 고치는 도구입니다.
깨닫다일부 열쇠가 중독되었습니다, 따라서 키 서버에서 무작정 키를 가져오는 것은 좋은 생각이 아닙니다(실제로는 그렇지 않습니다). 또한 항상 확인하십시오.전체 지문 확인, 긴 키 식별자를 사용합니다.