Ricerca e recupero automatico dei percorsi delle firme dalla propria chiave alla destinazione

2

Questa è una domanda sull'uso di Web of Trust.

Supponiamo di aver appena generato una coppia di chiavi e di aver partecipato a uno o due Key Signing Parties . Questo mi ha dato ~ 10 firme sulla mia chiave pubblica, alcune delle quali appartengono agli attivisti di OpenPGP (quindi sono ragionevolmente sicuro che ora la mia chiave appartiene al "set strong" nella rete mondiale di fiducia). Pertanto, ho pubblicato la mia chiave su hkp://keys.gnupg.net e ho scaricato tutte le chiavi dei partecipanti nel mio keyring locale.

Allo stesso tempo, ci sono siti web come link , che sembrano automatizzare "la ricerca di percorsi nella rete di fiducia "- cioè, data la mia impronta digitale chiave e una chiave di destinazione, interroga i server delle chiavi e mostra tutti i percorsi delle firme dalla mia chiave alla destinazione.

Allo stesso tempo, il suo utilizzo richiede una grande quantità di intervento umano. Se / quando ricevo un messaggio firmato e desidero verificare la firma, devo:

  • vai su quel sito (il pathfinder PGP);
  • trova i percorsi delle firme;
  • importa tutte le chiavi partecipanti al mio portachiavi locale;
  • verifica tutte queste chiavi e firme localmente, in modo da essere protetto contro i server delle chiavi e / o i pathfinder non autorizzati.

Un'altra complicazione è che OpenPGP utilizza il suo specifico "modello di fiducia", che dice che un percorso di firma deve soddisfare alcune condizioni (profondità, livelli di fiducia, fiducia del proprietario e così via) per essere considerato.

Questo è corretto e buona pratica, ma a volte voglio solo per controllare la semplice presenza di percorsi di firma, senza imporre alcuna restrizione su di esso (che è già meglio di niente).

Ancora una volta, dico che avere un percorso di fiducia è il migliore, ma in assenza di ciò, avere un percorso di firma è almeno in qualche modo migliore che non avere nulla.

Perché non c'è uno strumento (magari integrato in GnuPG) che funzionerà per me?

    
posta intelfx 21.12.2015 - 09:13
fonte

1 risposta

2

Semantica mancante

Ci sono diversi problemi con la ricerca di tali percorsi di firma. Uno è la semantica di un tale percorso, le firme di altre chiavi non dovrebbero mai essere prese in considerazione senza la fiducia in quell'utente considerato. Ovviamente, potrebbe comunque esserci un tale percorso, io uso il pathfinder PGP che hai menzionato di volta in volta per ricavare percorsi di fiducia, recuperare le chiavi appropriate e rilasciare la fiducia come ritengo opportuno.

Motivi tecnici

C'è anche un motivo tecnico che non è implementato in GnuPG: trovare quei percorsi richiede conoscenza su tutte le chiavi. GnuPG non è davvero in grado di gestire quei milioni di chiavi. e sia il recupero che il mantenimento della corrente richiederanno un certo sforzo. Il pathfinder PGP utilizza un dump del server delle chiavi giornaliero ed esegue alcuni lavori di preparazione (per lo più estrae la rete sottostante, per velocizzare le query) per ovviare a questo problema. Questo dump ha dimensioni multiple di gigabyte!

Esecuzione del proprio Path Finder Signature

wotsap è un progetto che fornisce analisi simili e ha reso disponibili le fonti, dato che trovi una corrente fonte per i file .wot (fornendo i dati di rete). In alternativa, puoi calcolarli da un dump del server chiave da solo utilizzando gli strumenti forniti da wotsap.

    
risposta data 21.12.2015 - 10:28
fonte

Leggi altre domande sui tag