Posso utilizzare un certificato digitale X.509 affidabile per facilitare l'espansione della mia rete di fiducia personale?
Per essere più specifici:
- Posso usare il mio certificato X.509 per firmare la mia chiave master GnuPG?
- I destinatari potranno utilizzare i certificati della CA per verificare che la chiave pubblica sia effettivamente mia?
- In che modo questo si confronta con gli attuali metodi di espansione della fiducia, come la key signing party, quando si tratta di attendibilità e autenticità della mia chiave pubblica?
- Questo fornirebbe abbastanza sicurezza per qualcuno che non mi conosce personalmente per firmare la mia chiave master?
Durante la ricerca di questo argomento, mi sono imbattuto in questa pagina sui criteri di firma delle chiavi :
Signing PGP keys with X.509 certificates
While a certificate from a CA is no real basis for trust in a PGP key, it may serve as a reasonable substitute when no other options are available.
Perché una firma di un'autorità di certificazione nazionale non rende affidabile una chiave pubblicata?
Il mio paese implementa un'infrastruttura a chiave pubblica attorno a PKCS # 7 e X.509 standard. Il loro processo è il seguente:
- Le CA soddisfano i requisiti crittografici e ricevono le loro chiavi firmate dal governo.
- Gli utenti pagano una commissione per verificare la propria identità e ottenere un certificato digitale emesso dalla CA.
- I certificati vengono emessi più spesso come smart card e abilitano firme digitali legalmente vincolanti.
Mi sembra che la CA sia equivalente a una persona nella rete di fiducia le cui firme possono essere pienamente attendibili, come per documentazione di GnuPG :
The owner has an excellent understanding of key signing, and his signature on a key would be as good as your own.
Se la mia chiave può essere effettivamente firmata da un tale certificato, come può un destinatario della mia chiave pubblica non essere sicuro che sia mio, dato che la mia identità è stata verificata personalmente e in modo piuttosto approfondito dalla CA?
Informazioni correlate Domande Security.SE che ho trovato:
-
Certificazione incrociata tra mondi come X.509 e PGP?
The trust systems of OpenPGP (web of trust) and X.509 (hierarchical) are not compatible, nor are the signatures
-
È tipico creare coppie di chiavi x509 e OpenPGP?
An X.509 certificate, or a signed OpenPGP public key (same concept)
Sembra che ci siano molte informazioni contrastanti in molti posti diversi. Se una chiave pubblica OpenPGP o GnuPG firmata è la stessa cosa di un certificato X.509, come possono le firme essere incompatibili? Anche i sistemi di fiducia sembrano essere analoghi tra loro, a parte la quantità di burocrazia implicata.