Modi per firmare la chiave pubblica gpg in modo che sia affidabile?

22

Ho un servizio tramite SSL che fornisce all'utente un codice per un motivo specifico. Voglio firmare il codice con la chiave privata del server web ( gpg --clearsign ) e inviare il codice firmato in modo che possano verificare la sua origine dopo che hanno lasciato il mio sito.

Purtroppo ho ricevuto l'errore:

gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.

Capisco approssimativamente cosa significa, anche se non sono sicuro di un metodo per fornire la chiave pubblica del mio server pur mantenendo la fiducia.

Devo "firmare" la chiave pubblica che viene esportata (e quindi fornita all'utente) con l'utente a cui è stata esportata?

Quali sono alcuni semplici metodi per fornire questo trust?

Ho letto dei keyserver e francamente non è davvero un'opzione per me, non sono sicuro di come posso farlo funzionare.

    
posta Ken Bachmann 05.09.2011 - 10:03
fonte

1 risposta

18

Fondamentalmente il problema è una questione di fiducia.

Quando firmi un file, qualcuno deve recuperare la tua chiave pubblica per controllare la firma, ma come possono essere sicuri che questa sia davvero la tua firma?

GPG fornisce un modo per farlo chiamato Web of trust. Ad esempio, diciamo che sei Bob e vuoi discutere con Alice. Conosci già Ted, che è un tuo amico e hai già scambiato la chiave per discutere usando GPG. Sai che anche Ted conosce Alice. Quindi puoi chiedergli di darti la chiave pubblica di Alice e firmarla. Pertanto, quando leggi questa chiave, puoi controllare la firma di Ted per assicurarti che la chiave sia valida.

Certo, devi avere fiducia che Ted si comporterà correttamente e non firmerà nulla alla cieca.

Quindi nel tuo caso, non puoi evitare questo avvertimento. L'utente deve essere in grado di recuperare la chiave in un modo che trova sicuro, in modo che possa contrassegnare questa chiave come affidabile. A meno che tu non conosca altre persone che conoscono il tuo cliente e possano firmare la tua chiave per il nuovo cliente. In definitiva, la chiave autofirmata è inutile (posso rendere falso e firmare con esso).

    
risposta data 05.09.2011 - 10:33
fonte

Leggi altre domande sui tag