Che cosa stai dicendo quando firmi una chiave PGP?

12

Quando firmi una chiave PGP / GPG, cosa stai dicendo esattamente a tutti quelli che vedono la tua firma? Stai convalidando la persona o l'indirizzo email?

Per spiegare cosa intendo, prendi i seguenti due esempi:

Convalida la persona: "Confido che la chiave 0x559E3EE8 appartenga a Bob in contabilità, personalmente mi ha consegnato un pezzo di carta con quella chiave pubblica a pranzo. L'indirizzo email di Bob è, ma se lo elenca come uno dei suoi UID nella sua chiave, sono abbastanza sicuro che appartenga a lui.

Convalida dell'indirizzo email (UID): "Confido che la chiave 0x559E3EE8 appartenga a [email protected] ; non so chi sia nella vita reale, ma abbiamo inviato crittografato e-mail avanti e indietro, e so perfettamente che può decifrare e leggere le e-mail che gli mando, come a volte cita le cose che gli ho scritto.Posso anche essere sicuro che non ci sia nessuno in mezzo tra il mio computer e il suo mail server. "

    
posta IQAndreas 17.09.2014 - 16:26
fonte

3 risposte

11

OpenPGP non definisce alcuna regola per le certificazioni

Da RFC 4880 , Tipi di firma:

[...] Please note that the vagueness of these meanings is not a flaw, but a feature of the system. Because OpenPGP places final authority for validity upon the receiver of a signature, it may be that one signer's casual act might be more rigorous than some other authority's positive act. [...]

Best practice informali

Però c'è una sorta di best practice informale. Pubblicando una certificazione di livello di affidabilità indefinito o casuale ( sig o sig2 , tipi di firma 0x10 e 0x12 ) tu dichiari di essere sicuro dell'identità del firmatario . Questo potrebbe essere successo controllando documenti ufficiali o conoscendo qualcuno molto bene. Spesso le persone inviano una mail cifrata contenente la firma come allegato anche per verificare la proprietà dell'indirizzo mail .

Le certificazioni di livello di fiducia positivo ( sig3 , tipo 0x13 ) di solito richiedono alcune certezze avanzate del firmatario in quello che sta facendo. Ciò potrebbe essere dovuto alla conoscenza a lungo termine del firmatario o all'alto livello di confidenza dei documenti noti presentati (ad esempio, i passaporti del proprio paese).

Politiche di certificazione

Poiché non ci sono regole generali e applicate per le certificazioni, alcune persone pubblicano politiche di certificazione , che sostengono di seguire. Spesso rappresentano solo le migliori pratiche informali, ma possono aiutare gli altri a giustificare le dichiarazioni di certificazione.

Spesso contengono informazioni su come si controllano le chiavi, su quali documenti si richiedono, su come gestisci le variazioni nei nomi dei partecipanti e possibilmente di più. Spesso, sono documenti firmati e referenziati da ciascuna certificazione rilasciata l'opzione cert-policy-url di GnuPG .

    
risposta data 18.09.2014 - 10:56
fonte
6

Dovresti fare entrambe le cose. Ti viene offerta un'opzione per firmare solo UID specifici o tutti gli UID e devi solo firmare gli UID che puoi garantire. Ad esempio, se lavori a Example Inc e Bob ha "[email protected]" e "[email protected]", devi solo firmare il suo UID [email protected].

Una firma PGP indica quanto segue

  1. Sto attestando che questa chiave appartiene a Bob
  2. Sto attestando che questo ID e-mail elencato nel suo certificato appartiene a Bob

In realtà, poche persone fanno il # 2 e la maggior parte si limita a firmare tutti gli UID senza controllo.

    
risposta data 17.09.2014 - 16:39
fonte
5

Le persone che partecipano a PGP dovrebbero avere una certificazione di pratica (CPS), ma questo non è così comune come dovrebbe essere Ad es.,

Queste politiche hanno in genere un comune denominatore di incontro con la persona, la convalida del documento d'identità rilasciato dal governo corrisponde al nome con cui si presentano e garantisce che la persona abbia il controllo sull'indirizzo email in questione.

Mi piace la formalità di un CPS, specialmente quando si tratta di politiche riguardanti la firma di chiavi di alias o chiavi organizzative.

Il CPS indicherà quando e perché un'autorità firmerà una chiave o un certificato. link

Per dividere i capelli, puoi firmare la chiave di nessuno per qualsiasi motivo. Se pubblica la firma, dovresti avere un CPS e devi firmare digitalmente il CPS. Se qualcuno ti chiede perché hai firmato la chiave di qualcuno, puoi indicarlo.

    
risposta data 17.09.2014 - 18:34
fonte

Leggi altre domande sui tag