Cosa significano queste firme della mia chiave PGP?

Question

Cosa significano queste firme della mia chiave PGP?

#1 da (2 voti)

3

Quando stavo visualizzando le informazioni chiave della mia chiave PGP su un server delle chiavi, non riuscivo a capire il significato di alcune delle firme.

Ecco le informazioni chiave dal server delle chiavi ( link ):

Type bits/keyID     cr. time   exp time   key expir

pub   256E/C7AD3F62 2017-09-02            

uid DDoSolitary <[email protected]>
sig  sig3  C7AD3F62 2017-09-02 __________ __________ [selfsig]

sub   256E/3A2792F6 2017-09-06            
sig sbind  C7AD3F62 2017-09-06 __________ __________ []

sub   256e/3BEE2AA5 2017-09-02            
sig sbind  C7AD3F62 2017-09-02 __________ __________ []
sig  sig3  C7AD3F62 2017-09-02 __________ __________ []
sig sbind  C7AD3F62 2017-09-06 __________ __________ []

Ho creato questa chiave con una sottochiave di crittografia ( 256e/3BEE2AA5 ) il 2017-09-02 e, successivamente, il 2017-09-06, ho aggiunto una sottochiave di autenticazione ( 256E/3A2792F6 ).

Capisco che il sig3 della uid e la sbind signature della chiave di autenticazione ( 256E/3A2792F6 ) siano usati per legare la chiave master con l'uid / sottochiave. Tuttavia, mi sono confuso dopo aver visto le firme della chiave di crittografia ( 256e/3BEE2AA5 ). Perché ci sono tre firme per esso e per cosa sono utilizzati?

pgp gnupg

posta DDoSolitary 02.10.2017 - 19:31

fonte

1 risposta

Leggi altre domande sui tag pgp gnupg

È sicuro crittografare e salvare il segreto dell'API di terze parti degli utenti nel database? SecureString come confrontare con un'altra SecureString che è sicura contro gli attacchi a tempo?

score 2 · Accepted Answer

Se impongo la chiave pubblica elencata nel tuo post, ricevo questo messaggio:

$ gpg --import pkey2.txt
gpg: key 50268311C7AD3F62: 11 duplicate signatures removed
gpg: key 50268311C7AD3F62: 5 signatures reordered
gpg: key 50268311C7AD3F62: public key "DDoSolitary <[email protected]>" imported
gpg: Total number processed: 1
gpg:               imported: 1

Come puoi vedere, le firme extra elencate sulla tua chiave pubblica sono contrassegnate come duplicate al momento dell'importazione e non influiscono sul funzionamento o sulla fiducia della chiave.

Le firme extra sono più probabili da manipolazioni chiave. Ogni modifica della tua chiave produce una firma.

Tutte le firme e le date delle firme possono essere estratte dalla chiave pubblica usando l'opzione --list-packets di gpg .

    $ gpg --list-packets pkey.txt |grep -A1 ":signature"

:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504334453, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508055794, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508055418, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508056216, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504703268, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504334453, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504703268, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508055418, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504334453, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508056216, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508055794, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508553430, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504334453, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504703268, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508055418, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504334453, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508056216, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508055794, md5len 0, sigclass 0x13

Le date sono nell'ora EPOCH UNIX. Queste sono tutte le date delle firme ordinate e in una forma più leggibile:

2017-09-02 06:40:53-00
2017-09-02 06:40:53-00
2017-09-02 06:40:53-00
2017-09-02 06:40:53-00
2017-09-02 06:40:53-00
2017-09-06 13:07:48-00
2017-09-06 13:07:48-00
2017-09-06 13:07:48-00
2017-10-15 08:16:58-00
2017-10-15 08:16:58-00
2017-10-15 08:16:58-00
2017-10-15 08:23:14-00
2017-10-15 08:23:14-00
2017-10-15 08:23:14-00
2017-10-15 08:30:16-00
2017-10-15 08:30:16-00
2017-10-15 08:30:16-00
2017-10-21 02:37:10-00

È abbastanza facile vedere che i tempi della firma si verificano durante le manipolazioni della chiave.

$ gpg --edit-key 688E1D093C3638F588890D4450268311C7AD3F62

pub  ed25519/50268311C7AD3F62
     created: 2017-09-02  expires: never       usage: SC  
     trust: unknown       validity: unknown
sub  ed25519/E758605C3A2792F6
     created: 2017-09-06  expires: never       usage: A   
sub  ed25519/6DC20782F6E9E2F3
     created: 2017-10-21  expires: 2018-10-21  usage: S   
sub  cv25519/1224F2883BEE2AA5
     created: 2017-09-02  expires: never       usage: E   
[ unknown] (1). DDoSolitary <[email protected]>
[ unknown] (2)  DDoSolitary <[email protected]>
[ unknown] (3)  [jpeg image of size 29903]

Quindi, guardando la chiave, non c'è nulla che risulti errato sulla chiave, come pubblicato sul server delle chiavi pubbliche o sulla chiave importata.

Come nota a margine: il livello di attendibilità sulla chiave pubblica come elencato nel mio sistema non sarà lo stesso del tuo sistema. La fiducia è sotto il controllo locale. Il trust è impostato come sconosciuto per impostazione predefinita. Tuttavia, non è saggio fidarsi ciecamente delle chiavi pubbliche elencate in un server delle chiavi.