GPG Web-of-Trust Level [duplicato]

Naviga le tue risposte
2

(e mi dispiace davvero per il mio inglese)

Ho una domanda su Web-of-Trust di GPG.

Diciamo che A e B hanno firmato le rispettive chiavi pubbliche e B e C hanno firmato le rispettive chiavi pubbliche. In questo caso A può fidarsi di C. Ma, se C e D hanno firmato le rispettive chiavi pubbliche, allora A può fidarsi di D (anche se A non ha incontrato C)? Qual è il limite di livello del web-of-trust?

    
posta yozel 20.11.2014 - 10:46
fonte

2 risposte

2

Il modello di fiducia di GnuPG predefinito consente una lunghezza massima dei percorsi di fiducia di cinque, che può essere configurato. Dalla documentazione ufficiale:

A key K is considered valid if it meets two conditions:

  1. it is signed by enough valid keys, meaning
    • you have signed it personally,
    • it has been signed by one fully trusted key, or
    • it has been signed by three marginally trusted keys; and
  2. the path of signed keys leading from K back to your own key is five steps or shorter.

Ho dato ulteriori spiegazioni su come funziona il calcolo della validità in un'altra risposta a Qual è il significato esatto di questo output gpg in merito alla fiducia? .

    
risposta data 20.11.2014 - 11:45
fonte
0

Imposta il livello e il limite di fiducia che hai.

PGP ha due tipi di Trust:

La fiducia implicita si ha quando si firmano le chiavi di qualcuno, punto. Di solito è pubblicato su vari server.

Fiducia esplicita: ti fidi delle chiavi firmate dall'individuo, per includere persone che non hai mai incontrato ed è PRIVAT.

Se A ha incontrato B e voleva utilizzare una suite PGP, dovevano firmare a vicenda le chiavi (Implicit Trust).

Se B ha incontrato C e ha firmato le rispettive chiavi, ha una fiducia implicita. Tuttavia, A non si fida implicitamente di C. A dovrebbe affidarsi a B per verificare l'identità di C (Trust esplicito).

Importa quale implementazione usi. Diciamo GNUPG:

Trovato nel manuale GNUPG in "Gestione del Web della fiducia" link

Se A utilizza GNUPG, utilizzerebbero le opzioni --completes-needed e --marginals-necessarie, ad es. 

 gpg --completes-needed 1 --marginals-needed 3

Quindi A non si fida implicitamente di B, C, D in questa situazione.

Che cosa succede se

  • Un set completo necessario a 1 e marginali necessari a 3 e poi Si fida esplicitamente di B
  • Quindi, segni B (fiducia implicita) C, D ed E
  • Ultimo, F e G vieni
  • C, D ed E si fidano implicitamente di F ma non di G

A questo punto, A si fida implicitamente di F perché C, D ed E sono marginali in questo caso.

Infine, quando ti fidi esplicitamente di qualcuno, puoi scegliere il livello in cui lo fai modificando la chiave dell'utente 

 gpg --edit-key B

Quindi emettere il comando trust 

 trust

Riceverai un messaggio sul livello di fiducia che hai per quella persona.

I livelli di fiducia, ecc. sono tutti spiegati nel manuale

link

    
risposta data 20.11.2014 - 17:59
fonte

Leggi altre domande sui tag

L'accesso automatico del thread dall'implementazione della posta elettronica è sicuro / buona esperienza utente? Monitoraggio del mittente dell'e-mail tramite l'indirizzo e-mail SOLO