Che cosa significa esattamente "sign key"?
Quindi, ad esempio, ho una chiave GPG privata / pubblica in modo che le persone possano inviarmi messaggi di posta elettronica crittografati, perché conoscono la mia chiave pubblica. Ma: cosa significa significazione dei tasti in questo esempio? Es .: "una terza persona firma la mia chiave pubblica (come?)"
E il più importante: dove possono vedere le altre persone che la mia chiave è firmata da altri?
OK, come dici tu, hai una chiave privata / pubblica in modo da poterti inviare e-mail crittografate, perché conosco la tua chiave pubblica.
Ma come conosco la tua chiave pubblica? Ovviamente, perché mi hai detto di cosa si trattava, e se mi hai detto su un canale sicuro - per esempio lo hai scritto su un pezzo di carta e me lo hai consegnato in privato - allora va bene.
Ma se me l'avessi inviato per email su un canale non sicuro, come posso sapere che Eva non ha intercettato la tua e-mail e ha sostituito la tua chiave con la sua? Poi Eve ha potuto leggere la mia e-mail crittografata, perché l'avrei crittografata con la sua chiave.
Questo è un problema reale perché se abbiamo solo Internet come nostro canale di comunicazione, per definizione non è sicuro da usare per lo scambio di chiavi. Non può essere, perché non abbiamo ancora scambiato le chiavi .
Un modo per aggirare questo è coinvolgere una terza parte di cui entrambi abbiamo fiducia. Chiamiamolo Bob.
Bob ha molti canali sicuri per le persone. Ne ha uno per me e quindi conosco la sua chiave pubblica. Ne ha uno per te e Bob conosce la tua chiave pubblica.
Ciò che Bob può fare è prendere la tua chiave pubblica e criptare il messaggio "La chiave pubblica di Lance è 18348273847473436" con la sua chiave privata. Quindi ti dà quel messaggio crittografato. Bob ha firmato la tua chiave.
Ora, se vuoi mandarmi la tua chiave pubblica, mi mandi semplicemente la chiave firmata sul canale non sicuro. So che è venuto da te, non da Eve, perché posso decodificarlo con la chiave pubblica di Bob, e mi fido di Bob.
Quindi abbiamo risolto il problema di "Graham e Lance hanno bisogno di un canale sicuro tra loro" nel problema di "Graham ha bisogno di un canale sicuro per Bob" e "Lance ha bisogno di un canale sicuro per Bob".
Non sembra che abbiamo migliorato le cose, fino a quando non te ne rendi conto, invece di preoccuparti di organizzare canali sicuri per D.W. e Lucas e Schroeder e Thomas e Rory e Graham e tutti gli altri su Internet, devi solo preoccuparti di ottenere un canale sicuro per Bob, una volta.
In PGP, la firma delle chiavi si riferisce al fatto che le cosiddette chiavi PGP (pubbliche) non sono solo chiavi pubbliche, ma certificati.
Un certificato di chiave pubblica è la combinazione firmata tra una chiave pubblica, identificatori (e possibilmente altri attributi). Coloro che firmano questo documento in modo efficace affermano l'autenticità del legame tra la chiave pubblica e l'identificatore, allo stesso modo in cui un'autorità emittente di passaporto asserisce il legame tra l'immagine e il nome in un passaporto.
I certificati X.509 sono un tipo di certificato, quelli più comunemente usati per le comunicazioni SSL / TLS. Possono avere solo una firma, che conduce a un'infrastruttura a chiave pubblica gerarchica.
Al contrario, i certificati PGP possono avere più firme. Un certo numero di individui potrebbe effettivamente garantire l'associazione tra la chiave pubblica e l'identità a cui si fa riferimento nel certificato PGP. Queste firme multiple consentono di creare un modello Web-of-Trust, in modo da non dover fare affidamento su una singola gerarchia per stabilire la fiducia in un certificato.
Quando firmi una chiave PGP (più precisamente, la chiave e il suo identificatore associato), inserisci l'identificatore e la firma nell'elenco delle persone che garantiscono ciò. C'è una certa responsabilità associata a questo, perché è necessario avere fiducia che questa associazione sia corretta tramite altri mezzi (ad esempio guardando una forma ufficiale di ID).
Affinché altre persone possano vedere che la tua chiave è stata firmata da altri, puoi fornirgli versioni aggiornate (scomode) o pubblicare la tua chiave su un server di distribuzione delle chiavi. Le persone che desiderano utilizzare la tua chiave recuperano la versione aggiornata con nuove firme di tanto in tanto (o quando devono utilizzarle e verificarle).
L'uso di una chiave è un modo efficace per dire che ritieni che la chiave sia corretta e associata a una particolare persona o identità (grazie a @Bruno). Le persone che si fidano di te possono quindi scegliere di fidarsi in base al fatto che tu l'abbia firmato.
Firma significa che firma digitalmente il certificato chiave. Non ne hai bisogno, ma vedrai con PGP, ad esempio, che ad ogni chiave del tuo mazzo di chiavi è associato un valore di fiducia. La firma della chiave ti consente di spostare l'indicatore di fiducia più in alto.
Ad esempio, per PGP, quando hai firmato la chiave, puoi caricarla in uno dei loro keystore pgp in modo che altri possano vederla. Oppure puoi scambiare le chiavi con una persona che firma la chiave o di persona.
La firma delle chiavi nei sistemi a chiave pubblica è un'affermazione matematica che esiste una relazione tra la chiave (un gruppo di numeri in una determinata sequenza) e il soggetto (una persona o identità principale). La firma delle chiavi stabilisce o rafforza la fiducia in tale asserzione e quindi la validità di una chiave per qualche scopo.
Nei sistemi gerarchici (es. X.509) una chiave deve essere firmata da un'autorità più alta nell'albero per essere considerata attendibile. Nei sistemi web-of-trust (ad es. PGP classico) utenti e gruppi firmano le chiavi per mostrare che si fidano dell'identità associata alle chiavi. In una gerarchia di solito un'autorità specifica è responsabile della firma (e della pubblicazione) delle chiavi. Nell'infrastruttura a chiave pubblica basata su web (PKI) puoi anche utilizzare i notai indipendenti.
Le parti per la firma delle chiavi consentono a molte persone e ad alcuni notai di raccogliere e raccogliere rapidamente più asserzioni (firme) da altre persone. Questo rafforza il web e consente agli utenti di guadagnare rapidamente punti di cui potrebbero aver bisogno in sistemi come Thawte o CACert per diventare notai o sbloccare vantaggi.
la crittografia di una chiave pubblica con una chiave privata è denominata "Firma di una chiave"
Diciamo che Alice, Bob e Charlie usano tutti PGP / GPG, quindi ognuno genererebbe una coppia di chiavi ora se Alice dovesse inviare un messaggio a Bob come fa Bob a sapere che è stato effettivamente firmato con la chiave di Alice, potrebbe essere una chiave attaccante appena generato e configurato nel nome di Alice. Ora diciamo che Charlie aveva incontrato Alice e Bob in momenti diversi, e Charlie firmò la chiave di Alice e Alice firmò la chiave di Charlies e lo stesso tra Bob e Charlie. Ora Bob riceve il messaggio di Alice e dice, oh, Charlie ha firmato questa chiave e mi fido di Charlie quindi credo anche che questo messaggio provenga davvero da Alice.
Ora il metodo effettivo utilizzato per firmare è lo stesso del metodo utilizzato per firmare qualsiasi messaggio (il messaggio in questo caso è la chiave pubblica e alcuni dei suoi metadati), e in genere uno carica le chiavi pubbliche in un server delle chiavi dove altri allegano le loro firme.
Leggi altre domande sui tag key-generation