Firma UID che non appartengono a una persona RL con nome e cognome

Question

Firma UID che non appartengono a una persona RL con nome e cognome

#1 da (1 voti)

4

A volte mi viene chiesto di firmare UID pseudonimi o di vedere le chiavi PGP che appartengono a organizzazioni piuttosto che a singole persone. Questi, per natura, non contengono il nome di una persona della vita reale; quindi non esiste un modo ovvio per verificare tali identità. (Un metodo che mi è stato proposto è stato dimostrare la proprietà di un dominio correlato all'UID rendendo disponibile un documento firmato su quel dominio, ma non sono riuscito a decidere se questo fosse sufficiente.)

Ci sono, tuttavia, motivi per includere tali chiavi (almeno quelle delle organizzazioni) nella rete di fiducia, ad esempio una chiave di firma del rilascio del software dovrebbe avere piuttosto delle firme su di essa. Quale sarebbe un modo decente di convalidare tali identità (o: in quali condizioni un tale ID potrebbe essere dichiarato come "verificato")?

pgp web-of-trust

posta aclow 25.12.2015 - 13:44

fonte

1 risposta

Leggi altre domande sui tag pgp web-of-trust

Server side Gestione VPN client? SSH Accesso a Personal Server sudo vs su

score 1 · Answer 1

Prima di tutto: cosa firmare o non firmare dipende interamente da te. Non ci sono regole fisse su come verificare gli ID, né se firmare nickname o no. Da RFC 4880 , Tipi di firma:

[...] Please note that the vagueness of these meanings is not a flaw, but a feature of the system. Because OpenPGP places final authority for validity upon the receiver of a signature, it may be that one signer's casual act might be more rigorous than some other authority's positive act. [...]

Dall'esperienza, la solita aspettativa è probabilmente quella di firmare solo i veri nomi verificati. Riesci a firmare pseudonimi, qual è la semantica di tale certificazione? Uno pseudonimo è un'identità autoassegnata, che non può essere realmente verificata. Potrebbero esserci casi d'uso; considera un gruppo di persone che si conoscono solo con i loro pseudonimi, che non vogliono rivelare la loro vera identità, come un gruppo che resiste all'oppressione del governo.

Alla fine, sta a te decidere cosa firmare o non firmare. Potrebbe essere ragionevole fornire una politica di certificazione che spiega come si firmano le altre chiavi . Ciò consentirà ad altri di capire come si verificano le identità e ciò che si firma, in modo che possano utilizzare le certificazioni durante la ricerca di percorsi di fiducia (dato che si fidano della propria chiave).