Я начал работать с GPG и отправил свой ключ в глобальный каталог PGP. Когда я подтвердил свой адрес электронной почты, они подписали мой ключ, и у меня возник вопрос.

В одном случае меня может не волновать реальная личность владельца ключа. Так что PGP Global Directory или похожая подпись звучит достаточно хорошо.
В другом случае для меня может быть важна реальная личность, поэтому PGP Global Directory или подобной подписи недостаточно.

В первом случае я могу полностью доверять подписчику, проверяющему только электронную почту. Во втором случае я не могу.

Есть ли хорошая практика для решения такой ситуации в GPG?

1 ответ1

0

OpenPGP не знает центральный центр сертификации, как X.509 / S / MIME, поэтому вам нужно найти путь доверия от вас к (вероятному) владельцу ключа в сети доверия самостоятельно.

Самый простой способ - это напрямую проверить владение ключом другого, но для этого нужно встретиться с другим (для проверки его удостоверения личности) и / или очень хорошо узнать другого (тогда вы можете позвонить ему, попросив у него отпечаток пальца и возможно какой-то вопрос, только он мог ответить). В конце концов, вам решать, как проверить личность другого и владение ключом.

Если вы не можете сделать это, сделайте следующее:

  1. Попасть в сеть доверия. Получите свой собственный ключ подписанный, иди подписывать другие ключи Посетите ключевые подписывающие стороны, попытайтесь найти (хорошо связанных) пользователей OpenPGP, например. на. Хорошие места для подписи вашего ключа - это также встречи вашей локальной группы пользователей Linux/Unix и (по крайней мере, в Европе) встречи пиратских партий. Я бы также порекомендовал зарегистрироваться в CAcert, который изначально раздавал ключи X.509, но в то же время является крупнейшим "центром сертификации" в паутине доверия OpenPGP. У многих пользователей CAcert также есть ключ OpenPGP, и они будут рады подписать ваш ключ, когда будете встречаться с CAcert!
  2. Подтвердите ключ другого. Если вы смогли напрямую проверить ключ другого (встретившись с ним каким-либо образом и проверив его удостоверение личности, если вы не знаете его очень хорошо или какова ваша политика), вам придется найти путь доверия. Это означает, что, доверяя, вы доверяете подписям, выпущенным другой. Вы можете доверять хорошему другу или коллеге, в котором вы уверены, что он хорошо подписывает ключи. Если вы согласны с тем, что делает CAcert, это отличный способ повысить доверие к довольно большой части сети доверия (и, на мой взгляд, у них все хорошо).

Подробнее о доверии читайте на странице руководства GnuPG о доверии, а также у меня есть ответ на другой вопрос.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .