rvm 安装 gpg 密钥警告

rvm installation gpg key warning

为了安装 rvm,我使用 rvm 网站 (https://rvm.io/rvm/install) 上提供的命令来安装稳定版本的 rvm:

\curl -sSL https://get.rvm.io | bash -s stable --ruby

我有点担心我从 gpg 收到的警告:"There is no indication that the signature belongs to the owner." 这个 gpg 是不是有点太挑剔了?主键指纹 (409B 6B17 96C2 7546 2A17 0311 3804 BB82 D39D C0E3) 与 Michal Papis 相匹配,因此令人放心。

但是为什么 gpg 会警告 "This key is not certified with a trusted signature! There is no indication that the signature belongs to the owner"?这让我想起了证书颁发机构 (CA) 而不是向 CA 付费,但 gpg 的工作方式是否不同?

安装期间的输出:

Downloading https://github.com/rvm/rvm/archive/1.26.11.tar.gz
Downloading https://github.com/rvm/rvm/releases/download/1.26.11/1.26.11.tar.gz.asc
gpg: Signature made Mon Mar 30 14:52:13 2015 PDT using RSA key ID BF04FF17
gpg: Good signature from "Michal Papis (RVM signing) <mpapis@gmail.com>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 409B 6B17 96C2 7546 2A17  0311 3804 BB82 D39D C0E3
Subkey fingerprint: 62C9 E5F4 DA30 0D94 AC36  166B E206 C29F BF04 FF17
GPG verified '/Users/MyHome/.rvm/archives/rvm-1.26.11.tgz'

没关系。我不认为认为你真的需要使用 SSL,但如果你按照 rvm 页面上的说明这样做,请确保先添加密钥。

gpg --keyserver hkp://keys.gnupg.net --recv-keys 409B6B1796C275462A1703113804BB82D39DC0E3

\curl -sSL https://get.rvm.io | bash -s stable

GnuPG 不仅可以验证散列和,还可以帮助您验证签名者是谁。

这一行告诉你,签名是有效的(文件未被篡改)并且是使用特定密钥创建的。

gpg: Good signature from "Michal Papis (RVM signing) <mpapis@gmail.com>"

仅仅在本地拥有密钥并不能帮助您确定它真正属于谁:

gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 409B 6B17 96C2 7546 2A17  0311 3804 BB82 D39D C0E3

GnuPG 需要从您拥有的密钥到您要验证的密钥的信任路径,类似于 X.509 的信任链(在 HTTPS 中使用)。 ..).

手动验证密钥的一种基本方法是将其指纹与 TLS 安全下载页面 (https://rvm.io/rvm/install) 上提供的指纹进行比较,希望它们是相等的(不关心是否有空格或者不在两者之间,这只是为了可读性)。这样,您将不得不信任该网页,但不必关心相当复杂的 OpenPGP 信任概念。使用 OpenPGP 信任网来验证密钥所有权,您可能 更确定 发行者,您必须自己决定在验证中投入了多少精力。