Fiducia delle chiavi GPG dopo una parte della firma

Naviga le tue risposte
7

Potrei essere totalmente frainteso dal concetto di web-of-trust, ma immagino il seguente scenario: Genero la mia chiave, poi vado a una key signing party, e dopo, importare tutte le chiavi che ho verificato con le impronte digitali, e firmare quelli. Ora, renderà tutte quelle chiavi pienamente valide , ma il trust predefinito per ogni chiave sarà comunque impostato sul valore predefinito, ad esempio "sconosciuto". Il che significa che se ora importare una nuova chiave, anche se questa nuova chiave ha abbastanza (*) firme da quelle, non sarà considerata valida, perché nessuna di queste chiavi è attendibile.

Il che significa che per le parti che firmano le chiavi di avere qualche utilità, dobbiamo impostare la fiducia di queste chiavi almeno marginalmente attendibili. Destra? O sto facendo qualche errore da qualche parte nel mio ragionamento?

(*) - Nel modello di sicurezza predefinito di GPG, ovvero un sig di una chiave completamente affidabile o 3 di chiavi marginalmente attendibili.

    
posta wmnorth 23.02.2014 - 17:46
fonte

2 risposte

7

Un modo (leggermente) semplificato di pensarlo è:

1) Firmi la chiave di qualcuno per dire "asserisco che questa chiave appartiene alla persona identificata".

2) Assegni fiducia alla chiave di qualcuno per dire "Credo che questa persona sia abbastanza responsabile da fare bene il numero 1".

# 1 è una dichiarazione pubblica da te (la tua chiave) al mondo. # 2 è una nota privata nella tua configurazione GPG.

I due non vanno necessariamente insieme. Se pensi che qualcuno faccia delle firme terribili (per esempio, non controlla sufficientemente prima di firmare), allora puoi ancora firmare la loro chiave (dopotutto, non stai facendo una dichiarazione riguardo alla loro affidabilità, così come alla loro identità), ma probabilmente non vorresti assegnare fiducia alla loro chiave. In altre parole, credi che la loro chiave appartenga a loro, ma non ti "fidati" di loro per fare buone firme sulle chiavi degli altri.

In una festa per la firma di chiavi, è abbastanza comune essere in grado di firmare la chiave di qualcuno (controlli qualche ID, verifica che il loro indirizzo email funzioni tramite un cookie e così via), ma non hai idea se la persona valga la pena di fidarsi firma la chiave di qualcun altro. Dopo tutto, in molti casi, non li hai mai nemmeno incontrati prima.

    
risposta data 26.02.2014 - 20:41
fonte
4

Bene, sì e no. La validità della chiave non deve essere sottovalutata: tutti coloro la cui chiave è stata firmata è ora pienamente valida nel proprio portachiavi e puoi comunicare con loro utilizzando questo trust diretto. Tuttavia, se vuoi essere in grado di utilizzare l'effettivo web di fiducia, allora sì, dovrai assegnare il trust proprietario a tutte o alcune di quelle chiavi. Senza quel passo, la parte "web" della "rete di fiducia" non entra realmente in gioco. Inizia con il proprietario-fiducia marginale e assegna piena fiducia solo a quelle persone che sai faranno un buon lavoro verificando l'identità di qualcuno prima di firmare le chiavi .

    
risposta data 24.02.2014 - 05:37
fonte

Leggi altre domande sui tag

VPN vulnerabili a MiTM perché ogni certificato va Quali sono i buoni metodi di sicurezza visiva?