GPG buona firma ma Attenzione: firma non fidata

Naviga le tue risposte
6

Sto riscontrando un problema con alcuni dei miei clienti che non riescono ad aprire allegati e-mail quando firmo i messaggi. L'errore che ottengono è qualcosa come (traduzione gratuita):

Error: cannot open. The digital signature could not be validated.

Il controllo del messaggio inviato con gpg produce quanto segue: 

gpg: Good signature from "John Doe <[email protected]>" 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg: There is no indication that the signature belongs to the owner.

Vorrei continuare a firmare e infine crittografare tutte le comunicazioni che escono dal mio ufficio, ma devo risolvere il problema degli allegati.

  • Come andrei a risolvere questo? È una questione di ricezione che contrassegna la mia firma come affidabile? C'è un modo per farlo che non comporti un'azione dal ricevitore (server delle chiavi?)?
posta margaritam 15.11.2013 - 15:48
fonte

2 risposte

5

A chi fidarsi?

La firma potrebbe essere verificata con successo, il che significa che è stato firmato con la chiave privata come annunciato. Questa chiave afferma che appartiene a "John Doe".

Tuttavia, la configurazione di GnuPG non si fida di questa chiave. Ognuno potrebbe creare una chiave per John Doe; tutto quello che sai è qualcuno che ha creato una chiave con ID utente. John Doe ti ha inviato questo messaggio.

Verifica proprietà chiave

Per essere sicuro che il mittente di questo messaggio sia realmente quello che afferma di essere (John Doe), dovresti conoscere il suo id chiave (impronta digitale migliore) su un altro, in modo fidato (non necessariamente essere sicuro , poiché vengono trasferite solo le informazioni pubbliche, ovvero la sua chiave pubblica id). Successivamente, scarica e firma la sua chiave: 

gpg --recv-keys 0x12345678
gpg --sign 0x12345678

Tutte le chiavi che hai firmato (e quindi le loro firme) verranno verificate in futuro.

The Web of Trust

Puoi anche utilizzare la rete di fiducia. Inserendo fiducia in una chiave, verranno prese in considerazione anche le firme fornite dal proprietario di quella chiave durante la verifica della validità di una chiave. Dai un'occhiata a questa risposta che spiega in modo più approfondito la fiducia, le chiavi valide e la rete di fiducia: Qual è il significato esatto di questo output gpg per quanto riguarda la fiducia?

    
risposta data 15.11.2013 - 16:32
fonte
2

Per aprire il messaggio, ci deve essere un modo per dire a GPG che il messaggio proviene da qualcuno di cui ti fidi. La semplice chiave pubblica di una persona non è sufficiente: l'altra parte può utilizzare la chiave pubblica per verificare i file se viene fornito un file di firma separato, ma GPG rifiuterà di decodificare i file che non hanno una chiave pubblica corrispondente firmata da te o qualcuno di cui ti fidi.

Quindi ecco qua: chiedi ai tuoi clienti di firmare la tua chiave pubblica e di impostare la fiducia della tua chiave pubblica su completa o definitiva. Nota comunque, per favore dì loro di farlo dopo aver verificato la validità della loro copia della tua chiave pubblica, sia attraverso una telefonata in cui dici loro l'hash della firma della tua chiave pubblica o di persona. Dopo tutto, i livelli di fiducia sono definiti "completi" e "ultimi" per un motivo.

    
risposta data 15.11.2013 - 16:34
fonte

Leggi altre domande sui tag

Come visualizzare i privilegi di estensioni in Firefox? Attacco XSS riflesso tramite richiesta POST e payload XML