È responsabile firmare una chiave OpenPGP senza verificare l'identità della persona?

2

Uso spesso GPG per verificare i download. Facendo ciò, implicitamente ripongo fiducia in una chiave fornita dall'autore. Almeno mi fido della chiave abbastanza per eseguire il software verificato usando la chiave data sul mio computer. Alcuni esempi potrebbero essere una chiave di manutenzione della distribuzione GNU / Linux pubblicata sulla sua homepage (disponibile su HTTPS) o un autore di programma che fa riferimento al suo profilo Keybase.io che è destinato a essere utilizzato per ottenere una chiave GPG per la verifica dei pacchetti singolati.

Per contrassegnare tali chiavi come attendibili in modo esplicito invece di importarle nel mio mazzo di chiavi, sembra ragionevole firmarle con la mia chiave. Il livello di certificazione della persona (0x11) sembra essere appropriato in questo caso. Estendendo che potrebbe essere utile rendere pubblicamente disponibili le mie firme, così un mio amico che scarica un pacchetto dallo stesso autore potrebbe trarre vantaggio dal fatto che la chiave sia stata ricontrollata come sicura da usare.

Esistono sostanziali inconvenienti a questo approccio, tranne i problemi di privacy?

    
posta raindev 03.11.2017 - 22:13
fonte

1 risposta

5

Non ci sono regole sulla tua politica di certificazione personale. Infatti, RFC 4880, OpenPGP afferma:

There are a number of possible meanings for a signature, which are indicated in a signature type octet in any given signature. Please note that the vagueness of these meanings is not a flaw, but a feature of the system. Because OpenPGP places final authority for validity upon the receiver of a signature, it may be that one signer's casual act might be more rigorous than some other authority's positive act. [...]

Ho già fornito ulteriori discussioni sul significato (e la vaghezza) delle certificazioni in "Va bene firmare un Chiave PGP senza riunione IRL? " .

Se sei sicuro della chiave del progetto software e considera anche che potrebbe essere pertinente condividere questo attestato, fornire una certificazione pubblica potrebbe essere una cosa ragionevole da fare. Personalmente, faccio anche (ma non lo faccio spesso), usando lo stesso identico livello di firma "sig1 / 0x11 ". Se si pensa più a fondo su quali livelli di certificazione utilizzare e si ha una definizione più o meno rigida, fornire una politica di certificazione ( "Cosa stai dicendo quando firmi una chiave PGP?" ) potrebbe essere utile se altri effettivamente considerano di seguire le tue certificazioni nella rete di fiducia.

Se usi GnuPG e vuoi solo emettere una firma "privata" che non dovrebbe essere condivisa con i server delle chiavi e altrimenti esportata, c'è anche la funzionalità della firma locale ( lsign ) .

    
risposta data 03.11.2017 - 22:35
fonte

Leggi altre domande sui tag