1

При добавлении новых идентификаторов в мой ключ OpenPGP я могу загрузить открытый ключ на сервер ключей, чтобы другие могли обновить свою копию.

Теперь, когда я удаляю удостоверение, будет ли сервер ключей обновляться до новой версии моего открытого ключа, или он будет сохранять более старую копию, поскольку новая версия содержит меньше удостоверений?

Если он обновит ключ, как я и просил, сможет ли кто-нибудь другой перезаписать мою новую копию открытого ключа своей старой, если они загрузят ее?

2 ответа2

2

Ключ OpenPGP - это не отдельный объект, а состоит из целого потока пакетов OpenPGP. Например, сообщение с открытым ключом состоит из (среди прочего) первичного пакета с открытым ключом, пакетов подключей, пакетов идентификаторов пользователей и различных видов подписей, некоторые из которых предоставляют сертификаты другими пользователями OpenPGP, другие связывают идентификаторы пользователей и подключи. Серверы ключей всегда объединяют эти пакеты и никогда ничего не удаляют.

Если он обновит ключ, как я и просил, сможет ли кто-нибудь другой перезаписать мою новую копию открытого ключа своей старой, если они загрузят ее?

Если вы добавите другой идентификатор пользователя, будет добавлен другой пакет (и объединен при отправке на серверы ключей). Это также включает в себя то, что другие пользователи, загружающие "старые" версии вашего ключа, не будут удалять ваши вновь добавленные идентификаторы пользователей - они загружают "неполную" копию, которая будет объединена (и, вероятно, вообще ничего не изменит).

Теперь, когда я удаляю удостоверение, будет ли сервер ключей обновляться до новой версии моего открытого ключа, или он будет сохранять более старую копию, поскольку новая версия содержит меньше удостоверений?

С другой стороны, это также означает, что вы не можете удалить старые идентификаторы пользователя, так как это не соответствует режиму "слияния", который имеют серверы ключей. Вместо этого вы отзываете старые идентификаторы пользователя (и все другие виды объектов OpenPGP), что приводит к специальной подписи отзыва, добавленной в качестве другого пакета OpenPGP и объединенной с вашим открытым ключом.

1

Вы не можете "перезаписать" или иным образом удалить данные с сервера ключей PGP - вы можете только отозвать их (используя revuid GnuPG), а затем загрузить "подпись отзыва" на сервер ключей.

Однако современные серверы ключей принимают только идентификаторы, подписанные главным ключом - это запись «[self-signature]», которую вы можете видеть в списке подписей. В то время как кто-то может легко создать поддельный пакет идентификатора пользователя, он не может подделать собственную подпись.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .