GPG нубовопросы и попытка разобраться.

Вот ID ключа 3DBDC284. Как узнать настоящий он или нет?

Вы, должно быть, прочитали о нём с сайта разработки. Если у вас нет оснований полагать, что этот сайт взломан, то считайте инфу о ключе настоящей. Как правило, на сайтах публикуют публичный ключ целиком, а не короткий хеш, так что импортируйте с их сайта и коллизий хэшей можно не опасаться.

А сервер МИТ доверенный и правильный? Есть ли список доверенных серверов?

Те, что по дефолту в GPG, те по дефолту доверенные. Вы можете это изменить (например, в случае появления инфы о взломе одного из серверов ключей).

Где мне взять эту доверенную подпись?

Как-то так

gpg --edit-key 3dbdc284
> trust # или "sign"
...

Вопрос 1. никак. тоесть, техническими средствами никак. вы должны его получить из доверенного источника, в идеале, лично от владельца после удостоверения его личности. в реальности обычно с сайта по https с проверенным сертификатом. второй популярный вариант — это через Web of Trust, т.е. вы знаете ключи человека А, он верит ключу Б, тот в свою очередь верит ключу который вы импортируете и следовательно вы можете быть reasonably уверенным в том что ключ настоящий. для расширения своей сети надо участвовать например в key signing parties, посмотрите, кто такие проводит в вашем регионе и если никто, то организуйте сами! в модели пгп разным ключам можно верить в разной степени: например, вы видели паспорт человека А, и поэтому точно верите тому ключу что он вам дал, но при этом вы не знаете насколько качественно он проверяет людей которым доверяет он. вы можете например считать что вы верите ключу только если его через вашу сеть подписало 4 и больше ключа про которых вы не знаете насколько они щепетильны в подписях. с другой стороны, вы знаете что ваш друг Д параноик нереальный и только подписывает ключи если видел пакет документов, провел скан сетчатки глаз и отпечатков пальцев и т.п., соответственно вы можете верить ключам которые он подписал сразу, даже если он один только их подписал. своими доверительными отношениями управляете только вы в итоге.

Вопрос 2 и 3. нет, не доверенный. любой человек может что-угодно залить на pgp.mit.edu или другой публиный сервер ключей. и что характерно, регулярно подделки обнаруживаются. это просто «хранилка» с удобным поиском, не стоит верить всему что вы оттуда можете скачать. если кто-то вам скажет что всему там можно верить, то он либо не знает о чем говорит, либо специально вводит вас в заблуждение. верить ключам можно ТОЛЬКО либо на основе подписей доверительных для вас лиц, либо если вы его получили через надежный канал с установлением личности. еще раз: в pgp «доверенных серверов» *нет*.

Вопрос 3. https://software.opensuse.org/421/en говорит что это должен быть 22C0 7BA5 3417 8CD0 2EFE 22AA B88B 2FD4 3DBD C284. сайт с нормальным сертификатом которому вы лично может быть верите, с большей долей вероятности, отпечаток правильный. но подтвердить это можно только через web of trust (которого у вас нет) либо лично у разработчиков (если вы им поверите): через почту с их личными подписями — ключей для которых у вас нет — или при встрече. в такой ситуации, остается только добавить этот ключ и подождать пару месяцев хотя бы, если за это время не станет известно что ключ был скомпрометирован, ему можно reasonably верить. в будущем вы уже точно сможете быть уверены что используется тот же ключ что и всегда (либо его сабключ, либо новый ключ, подписанный старым, т.е. вы сможете достоверно проверить его валидность).

вывод с этого всего простой: надо расширять свой web of trust, без него полезность pgp ограниченна. особенно если вы не верите в публичный x.509 PKI через центры сертификации — а на то есть все основания.

Как правило, на сайтах публикуют публичный ключ целиком, а не короткий хеш, так что импортируйте с их сайта и коллизий хэшей можно не опасаться.

достаточно сравнить полный хеш, но можно и так, да.

Те, что по дефолту в GPG, те по дефолту доверенные. Вы можете это изменить (например, в случае появления инфы о взломе одного из серверов ключей).

верю, что вы это не специально. они не более доверенные, чем любые другие. это просто каталог, по принципу телефонной книги.

> Где мне взять эту доверенную подпись?
Как-то так

неееет… пожалуйста, нет.

вы просто сказали «я верю этому ключу, сделать его доверенным». вы не проверили достоверность этого ключа никак, вы просто избавились от ворнинга gpg.

разумеется, если вы верите в достоверность ключа на основе распространения его хеша через https того, что выглядит как оффсайт opensuse, то тогда норм. но в любом случае не ответ на вопрос «Где мне взять эту доверенную подпись?».

того, что выглядит как оффсайт opensuse

Эта проблема решается через EV-сертификаты (в общем случае, конкретно у опенсусе он обычный).

если ты веришь выдавшему его центру сертификации. но тогда и проверять образ скачанный с того же источника нет смысла.