PGP Proprietario Trust Field & Signature Trust Field Distinction

Naviga le tue risposte
4

Sto leggendo Cryptography and Network Security Principles and Practices (5a edizione, p584) e leggendo i portachiavi PGP, sono un po 'confuso riguardo le differenze tra il campo di fiducia del proprietario e il campo di attendibilità della firma. Cito:

In turn, each signature has associated with it a signature trust field that indicates the degree to which this PGP user trusts the signer to certify public keys.

e ...

An owner trust field is included that indicates the degree to which this public key is trusted to sign other public-key certificates.

Le diapositive di PowerPoint che sto leggendo non sembrano fare una chiara distinzione tra i due:

  • Signature trust field: Measures how far the PGP user trusts the signer to certify public keys. (The key legitimacy field for an entry derives from the signature trust fields.)
  • Owner trust field: Indicates the degree to which this PGP user trusts the key's owner to sign other public-key certificates. PGP doesn't compute this level of trust; the PGP user assigns it. You can think of a signature trust field as a cached copy of the owner trust field from another entry.

Ho ragione nel dire che il campo di fiducia del proprietario è la misura in cui io (il proprietario del portachiavi) si fida della voce della chiave pubblica nella tabella?

Il campo trust della firma viene impostato manualmente dall'utente?

Se ho ricevuto una chiave pubblica da Bob e Charlie e David l'hanno firmata, avrei due voci di fiducia della firma per quella chiave? - E devo impostarli manualmente? - Cosa succede se non conosco David, quale sarebbe il valore?

    
posta Crizly 21.04.2015 - 22:26
fonte

1 risposta

5

Trust proprietario e firma

Fiducia della firma significa che un utente mette fiducia nell'identità di un altro utente. Se Alice firma (o certifica, che è il termine che userò d'ora in poi per firmare le chiavi di altri), la chiave di Bob, dichiara (seguendo qualunque regola) si fida della sua identità. Queste certificazioni sono generalmente disponibili pubblicamente sui server delle chiavi. Puoi recuperare queste certificazioni (recuperando la chiave di qualcun altro, riceverai automaticamente tutte le certificazioni su quella chiave), ma per ora sono ancora inutili (a meno che non vengano emesse da te stesso).

Il trust del proprietario viene emesso solo da te e non condiviso con altri. Definisce, indipendentemente dal fatto che tu abbia fiducia nelle capacità di qualcun altro di fare certificazioni appropriate (ad esempio, Alice controlla attentamente l'ID di Bob).

Se prendi entrambi i tipi di fiducia, puoi convalidare le chiavi degli altri, anche se non hai mai incontrato qualcuno. Dato che conosci Alice e hai certificato la sua chiave (fiducia della firma), la sua chiave è valida (sei sicuro di chi sia). Senza rilasciare il proprietario fiducia a lei, la sua certificazione su Bob non è considerata per la convalida della chiave di Bob ancora. Se si rilascia anche la fiducia del proprietario sulla chiave di Alice (quindi, fidandosi delle sue decisioni sulla certificazione degli altri), vengono prese in considerazione anche le sue certificazioni in uscita; Anche la chiave di Mario è valida.

Per maggiori dettagli, dai un'occhiata a Qual è il significato esatto di questo output gpg in merito alla fiducia? .

Le tue domande

Am I correct in saying that the owner trust field is the extent to which I (the keyring owner) trust the public key entry in the table?

Sì - e no. È una parte di fiducia come descritto sopra; affidati alla capacità del proprietario della chiave di emettere correttamente le certificazioni.

Does the signature trust field get set manually by the user?

In altri termini: trust di firma viene emesso da chiunque e condiviso sui server delle chiavi. Ogni utente di OpenPGP deve manualmente (e da solo) impostare trust del proprietario .

If I have a public key entry from Bob, and Charlie and David have signed it, would I have two signature trust entries for that key? - And do I have to set these manually? - What if I don't know David, what would the value be?

Se le certificazioni (le firme) sono state caricate sui server delle chiavi, è possibile recuperarle caricando la chiave di Bob dai server delle chiavi. Quindi no, non è necessario impostarli manualmente, né dovresti (se non hai verificato la chiave di Bob). Tuttavia potresti emettere fiducia del proprietario.

Se non conosci David (cioè, non ha certificato la sua chiave), il valore non cambierebbe, o in parole migliori: la certificazione di David non cambierebbe nulla, poiché probabilmente non hai messo il proprietario sulla chiave di David .

    
risposta data 21.04.2015 - 23:43
fonte

Leggi altre domande sui tag

Perché utilizzare un gestore di password per proteggere gli accessi al browser quando si trascura il client di posta elettronica? Come calcolare il fattore di esposizione?