PGP chiavi che variano solo nelle firme allegate

5

Ecco alcune domande che ruotano attorno allo stesso problema di base.

  1. Supponiamo di generare una coppia di chiavi PGP.
  2. Ora ottengo la coppia di chiavi firmata dalla persona A alla parte che firma X.
  3. In serata, fornisco la mia chiave pubblica ora firmata alla persona B.
  4. Il giorno successivo ricevo la mia chiave pubblica firmata dalla persona C alla persona che firma la firma Y.
  5. In serata, do la mia chiave pubblica ora firmata alla persona D.
    • Persona B e persona D ora hanno entrambi la mia chiave pubblica, ma versioni diverse (non so se versione è la parola giusta).
  6. Immagina una persona che ottiene la mia chiave pubblica sia dalla persona B che dalla persona D.

In che modo la persona E determina quale usare?

Analogamente, potrei iniziare facendo due copie della mia chiave pubblica e poi farle firmare da due gruppi di persone reciprocamente differenti.

Ancora, come può il software PGP di una futura persona determinare quale utilizzare?

Mi chiedo se può unire automaticamente le firme in una chiave all-content, se e solo se l'elenco delle firme allegate deve essere autofirmato dalla mia chiave privata.

Infine, le persone continuano a caricare le proprie chiavi sui server delle chiavi mentre vengono firmate da un numero sempre maggiore di persone?

    
posta Einar 09.03.2014 - 15:37
fonte

1 risposta

5

Una chiave pubblica come pubblicata sui keyserver consiste in realtà in un insieme di singoli pacchetti. Uno è la tua chiave pubblica, poi ci sono gli ID utente e le firme in arrivo da altre chiavi (e altre cose che non sono importanti qui).

How does person E determine which one to use? Again, how later-coming person's PGP software determine which one to use?

Come detto sopra, la chiave è la stessa, solo i pacchetti di firma sono differenti. Puoi dare un'occhiata a loro usando gpg --listpackets [file] , dare anche un'occhiata a questa risposta su come visualizzare i file chiave OpenPGP . Consiglio vivamente di dare un'occhiata all'output piuttosto lungo per capire cosa sta succedendo.

Quando "aggiorna" il tasto ( gpg --recv-keys [key] ) da un server delle chiavi, tutti i nuovi pacchetti verranno uniti con quelli già presenti sul disco. Le chiavi non "si diramano" in alcun modo. Immagina questo come l'unione di insiemi di firme. Questo può essere fatto anche esportando e importando usando gpg --import [file] .

Finally, do people keep uploading the[ir] keys to keyservers as they get signed by more and more people?

Spero di aver trovato la tua domanda giusta e di sapere se le persone caricano la propria chiave di volta in volta per distribuire le loro nuove firme usando gpg --send-keys [key] . Quindi, la risposta è un chiaro "sì e no". La maggior parte lo fa, molto di tanto in tanto, e altri no.

    
risposta data 09.03.2014 - 16:10
fonte

Leggi altre domande sui tag