Come faccio a decidere se firmare qualcuno chiave pubblica PGP? Stavo guardando alcune pagine di contatto e hanno una richiesta per le persone di firmare la loro chiave pubblica. Quanto è serio l'impegno di firmare qualcuno chiave pubblica?
Dovresti davvero firmare la chiave di qualcuno solo se li conosci davvero e ti fidi che la chiave è la loro.
Quando firmi, stai dicendo che li hai controllati, che sai che è la loro chiave.
Quindi capisci "mi fiderei che questa persona sia tanto accurata quanto me nella valutazione dell'identità delle altre persone?" Potresti avere amici che stanno attenti, o persone con cui sei a conoscenza e che detengono una posizione di responsabilità in modo che tu pensi che potrebbero essere degni di fiducia, o potrebbero essere completamente estranei, quindi non ti fideresti di loro con una partita bruciata. Questo è quando assegni il livello di fiducia.
Una pagina web che ti implora di firmarlo potrebbe essere qualcuno che sta cercando di costruire un burattino, una falsa identità o persino di rubare l'identità di qualcun altro. Peggio ancora, potrebbero raccogliere le identità di persone che sono abbastanza credulone da firmare una chiave casuale senza processo di convalida.
Devi verificare la loro identità. Normalmente ciò richiederebbe che tu gli facessi mostrare due forme di convalida dell'identità (ad esempio una carta d'identità e una patente di guida) e facendole mostrare un documento che determina che vivono effettivamente al loro indirizzo elencato (una bolletta per l'elettricità o acqua per esempio).
Ad esempio CAcert è un'autorità di certificazione guidata dalla comunità. A volte fanno feste firmate:
To create higher-trust certificates, users can participate in a web of trust system whereby users physically meet and verify each other's identities. CAcert maintains the number of assurance points for each account. Assurance points can be gained through various means, primarily by having one's identity physically verified by users classified as "Assurers". Having more assurance points allows users more privileges such as writing a name in the certificate and longer expiration times on certificates. A user with at least 100 assurance points is a Prospective Assurer, and may—after passing an Assurer Challenge[5]—verify other users; more assurance points allow the Assurer to assign more assurance points to others.
Leggi altre domande sui tag digital-signature public-key-infrastructure pgp rsa