В сообщении объясняется, что GnuPG не удалось подтвердить право собственности на ключ. Каждый может генерировать ключи для произвольных имен и почтовых адресов (просто ищите серверы ключей president@whitehouse.gov
).
Очень "OpenPGP" способ будет проверять ключ через сеть доверия OpenPGP. Опытные пользователи OpenPGP проверяют личности других и подтверждают это, выдавая сертификаты на ключи других. Это формирует сеть связанных ключей с так называемым трастовым путем между двумя произвольными ключами в сети. Если вы также участвуете в этом и доверяете людям на пути доверия, вы успешно подтвердили право собственности на ключ. GnuPG поддерживает это посредством сертификации (часто также называемой подписью) и выдачи доверия; Если вы можете проверить ключ с помощью своего локального представления в сети доверия, предупреждающее сообщение исчезнет.
Кроме того, существует более прагматичный подход: если вы найдете какую-либо разумную подсказку, ключ принадлежит проекту cygwin, это нормально. Это может быть отпечаток пальца, указанный на веб-сайте проекта, который передается по протоколу HTTP ( коротких ключей недостаточно! ).
Кроме того, вы могли бы согласиться с «хорошо, я не могу сейчас действительно проверить ключ, но я все еще просто играю с программным обеспечением на виртуальной машине или тестовом устройстве, и если никакая атака не была объявлена публично, или ключ внезапно изменится для некоторых дни или недели, я в порядке ". Эту концепцию также можно назвать доверием при первом использовании: вы на самом деле не ожидаете атаки или манипулирования программным обеспечением, но хотите иметь возможность обнаружить такую в будущем. Точно так же вы можете путешествовать во времени; может быть, вы уже найдете ссылки на ключ в других установках или дистрибутивах.