Dovrei assicurarmi di avere tutti i miei uid OpenPGP firmati?

OpenPGP si basa su un tipo di Public Key Infrastructure noto come Web of Trust . PKI è tutto basato sulla delega di fiducia: acquisisci sicurezza nell'associazione tra una determinata chiave e un'identità attraverso le firme che sono verificate con chiavi pubbliche che già ti fidi. "Sai" che la chiave pubblica di Alice è quella che vedi perché Bob l'ha firmata e puoi verificarla perché conosci la chiave pubblica di Bob; e conosci la chiave pubblica di Bob perché Charlie l'ha firmata.

La delega di fiducia non si adatta bene in verticale. Nello scenario Alice / Bob / Charlie, conosci Charlie (l'hai incontrato) e ti ha dato la sua chiave pubblica, quindi sei abbastanza sicuro che la chiave di Charlie, come tu sai, sia corretta. In questo modo è possibile verificare la firma Charlie calcolata sulla chiave di Bob (ovvero, una firma sulla coppia "name = Bob, key = ..."). Quindi puoi avere fiducia in quella chiave che appartiene a Bob, ma questo richiede che Charlie sia onesto e non troppo credulone. Potrebbe essere un po 'troppo chiedere; conoscere la chiave di Charlie non significa automaticamente che qualunque cosa Charlie segni sia Vangelo. Eppure hai incontrato Charlie (fisicamente), quindi forse puoi fidarti di lui. Per il terzo passo, firmando la chiave di Alice, hai bisogno ancora di più di Charlie: in effetti, non hai mai incontrato Bob. Quindi, confidando nella firma di Bob sulla chiave di Alice, in realtà stai scommettendo sull'idea che Bob sia onesto e non credulone; quindi ti affidi a Charlie non solo per essere onesto, ma anche per rifiutare di firmare le chiavi di altre persone che non sono ugualmente oneste e non creduloni. Quindi Charlie deve essere bravo in psicologia e valutare l'affidabilità di altre persone.

Quindi, per riassumere, più passaggi certificazione ci sono, più libero è il nome / chiave vincolante. Ci sono due modi per uscire da questo:

• Nella PKI gerarchica (come X.509), il nome / chiave vincolante (ovvero garantire che una chiave appartenga realmente a una data entità) e la delega di fiducia siano distinti; qualcuno con il potere di affermare tali legami (una autorità di certificazione ) accetterà di delegare tale potere solo dopo aver effettuato indagini approfondite e attraverso un contratto legalmente vincolante che elenca le responsabilità in un linguaggio compatibile con l'avvocato. Ciò rende accettabili gli alberi di certificazione, fino a una profondità di circa tre o quattro certificati.

• In Web of Trust PKI, ogni "link" in una catena di certificazione (una catena di chiavi firmate, da una chiave che conosci alla chiave che vuoi usare) ottiene un livello di affidabilità e tu accumuli molte catene fino a quando l'affidabilità accumulata raggiunge un livello preimpostato. WoK PKI fa affidamento sull'effetto massa: un attaccante attivo può truffare uno o due creduloni, ma non l'intera "comunità". Il grafico della certificazione dovrebbe essere strongmente connesso.

Pertanto , se Bob firma la chiave di [email protected] e [email protected] firma la chiave di [email protected], quindi questo è un passaggio in più, quindi una inaffidabilità in più , che dovrà essere compensato da altre catene - catene che devono terminare su [email protected] senza passando attraverso [email protected]. Da questo, concludiamo che dovresti ottenere tutto il tuo UID firmato: questo renderà più facile la verifica della tua chiave.

Se Bob è disposto a delegare tale livello di fiducia a [email protected], ciò sembra ragionevole.

Ci sono due dimensioni per fidarsi di OpenPGP. C'è la questione di confidare che la chiave appartenga veramente alla persona in questione, e poi ci si fida che la persona si prenda cura delle proprie chiavi. Se Alice è incurante delle sue chiavi, allora un aggressore potrebbe convincerla a firmare una chiave sotto il suo controllo, o potrebbe essere in grado di rubare la sua chiave privata. Per motivi di paranoia, consiglierei di firmare tutto.