Posso ottenere i certificati SSL per la mia chiave OpenPGP?

4

Come posso usare letsencrypt per ottenere una chiave pubblica firmata da usare con OpenPGP? Quindi posso dimostrare in tribunale che la chiave è la mia ecc., E non devo fare affidamento sulla rete di fiducia di OpenPGP.

    
posta Elliot Gorokhovsky 17.01.2016 - 20:52
fonte

1 risposta

5

How can I use letsencrypt to get a signed public key for use with OpenPGP?

Questo non è possibile per diversi motivi.

letsencrypt non verifica l'identità

So I can prove in court the key is mine [...]

letsencrypt verifica solo la proprietà del dominio, con altre parole se hai il controllo sul dominio. Fanno non verificare le informazioni personali.

Certificati server e client

OpenPGP non conosce realmente il concetto di certificati server, almeno non in modo standardizzato. Allo stesso tempo, letsencrypt emette solo certificati server. Non possono convalidare gli ID utente.

X.509 e OpenPGP non sono compatibili

letsencrypt emette certificati X.509, come quelli usati per HTTP. Entrambi utilizzano gli stessi algoritmi crittografici, né il formato della chiave X.509 è compatibile con il formato della chiave OpenPGP, né le loro firme (certificazioni). Il problema inizia già con il modo in cui vengono calcolate le entità che identificano le chiavi (in entrambi i casi: impronte digitali).

Mentre è ben possibile estrarre le chiavi RSA (con altre parole, i numeri usati come input per gli algoritmi), le stesse chiavi RSA avrebbero diverse rappresentazioni e formati incompatibili.

Sistemi fiduciari e autorità di certificazione

X.509 e OpenPGP hanno diversi sistemi di fiducia. X.509 ha un approccio gerarchico, con un gruppo (alcune persone dicono troppo grande) di autorità di certificazione radice attendibili (in modo ricorsivo) che sottoscrive sia altre autorità di certificazione che individui. Il risultato forma un tipo di albero di fiducia.

OpenPGP utilizza un'altra struttura, il grafico più generale ("web of trust"). Non esiste un'istanza di trust centrale ma la tua chiave, e devi verificare e fidarti delle chiavi di altri prima. Puoi in qualche modo confrontare questo per scegliere manualmente, installare e fidarti dei certificati di root nel trust store del tuo sistema (browser) prima di poter verificare eventuali certificati.

[...] and not have to rely on the OpenPGP web of trust.

Puoi benissimo mappare il sistema gerarchico di fiducia in OpenPGP, e ci sono davvero autorità di certificazione nel mondo OpenPGP: CAcert firma anche le chiavi OpenPGP, il tedesco Heise Verlag lo fa nella sua "Krypto-Kampagne" (sito tedesco), e anche in Germania puoi ottenere la tua chiave firmata usando le caratteristiche elettroniche della carta d'identità tedesca (sito tedesco).

Significa ancora fare affidamento sulla rete di fiducia di OpenPGP, ma usando le autorità di certificazione per "bootstrap trust". Ad esempio, chiunque si fida di CAcert sarà in grado di verificare la propria chiave in base alla propria firma, senza ulteriori "web of trust work" da eseguire.

    
risposta data 17.01.2016 - 21:38
fonte

Leggi altre domande sui tag