Modo sicuro per distribuire e verificare le chiavi pubbliche di OpenPGP?

1

Diciamo che c'è un'azienda che ha bisogno di rendere pubbliche le chiavi pubbliche di alcuni dipendenti OpenPGP per i clienti dell'azienda su Internet. La distribuzione delle chiavi sarebbe semplice, ma come può questa azienda assicurarsi che queste chiavi appartengano veramente a quei dipendenti?

Un modo per farlo è creare una pagina web disponibile solo su HTTPS (previene gli attacchi MitM). I certificati del server Web sono crittografati da un'autorità di certificazione attendibile (assicura che la pagina Web appartenga effettivamente a tale società). Questa pagina Web contiene quindi le chiavi pubbliche dei dipendenti.

C'è un modo migliore (più sicuro o più facile da usare) per ottenere la verifica dell'identità delle chiavi pubbliche?

In questo caso, la distribuzione fisica delle chiavi pubbliche non è purtroppo possibile.

    
posta Martin 19.10.2016 - 17:12
fonte

3 risposte

3

Vuoi garantire che la chiave che hai fornito non sia compromessa sulla strada per il destinatario. Il modo più semplice è utilizzare un canale di comunicazione autenticato e crittografato come HTTPS (come hai detto nella tua domanda). I siti che soddisfano questi criteri e sono disponibili pubblicamente e sono creati specificamente per la distribuzione di chiavi esistono già e sono facili da usare. Un sito comune è link ma ce ne sono anche altri.

In realtà, il più grande vantaggio di un sito come il MIT è che non devi preoccuparti di configurare HTTPS. Se hai già il tuo sito HTTPS già configurato, puoi semplicemente aggiungere una pagina alle chiavi pubbliche della tua organizzazione.

Alcune altre opzioni che ritengo siano meno convenienti:

  • Invia al destinatario un'email che hai firmato con la tua chiave. Ciò include la chiave pubblica per impostazione predefinita. Se sei preoccupato che l'email venga manomessa, chiama quella persona e fagli verificare l'impronta digitale della chiave. È abbastanza breve che la verifica telefonica non sia irragionevole.
  • utilizza una VPN per creare un canale sicuro e trasferire la chiave tramite VPN.
  • ottenere un'autorità di certificazione reciprocamente attendibile per firmare la tua chiave pubblica.
risposta data 19.10.2016 - 18:32
fonte
3

PGP è progettato per utilizzare una "rete di fiducia" per autenticare le chiavi pubbliche. Non esiste un'autorità centrale (come una CA) per PGP, quindi è necessario che altre persone firmino la propria chiave.

Per convalidare una chiave, puoi confrontare quanto ti fidi delle persone che lo hanno già firmato, con quanto ti fidi di loro. Se vedi solo una firma e non proviene da nessuno che conosci, forse non dovresti fidarti troppo. Ma se è firmato da cinque persone e uno dei firmatari è il tuo capo, probabilmente ti fideresti un bel po '.

Web of trust - signing

La firma delle chiavi è importante per PGP, ma all'inizio è difficile da capire.

Quando firmi un tasto, prendi in considerazione due fattori: quanto so che sei tu chi dici di essere e quanto mi fido di te per controllare le altre persone prima di firmare le loro chiavi?

Se tu fossi il mio migliore amico, direi che sei senza dubbio Martin. Ma non ti conosco affatto, quindi oggi non firmerò la tua chiave. Ora, diciamo che ci siamo incontrati a una conferenza e tu mi hai chiesto di firmare la tua chiave. Ti chiederei di mostrarmi prima la tua patente di guida. Allora firmerei la tua chiave, con un livello che corrisponde alla mia fiducia che la tua licenza non è stata falsificata.

Ma ancora non ti conosco come persona. Non so se sei un tipo responsabile o no, quindi non mi fiderei della tua capacità di fare attenzione quando controllo le altre persone. Ma la mia migliore amica è una persona molto attenta, e mi fiderei anche che controllasse le altre persone molto attentamente prima di firmare le loro chiavi. Quindi firmerei la chiave del mio amico e attesto che il mio livello di fiducia in lui è molto alto.

Web of trust - utilizzando

Quindi ora hai una chiave pubblica da qualcuno. Come ti fidi che in realtà è la loro chiave? Guardi le firme. Guardi chi ha attestato l'autenticità di questa persona. Sono quelle persone firmatari di cui ti fidi? Sono personaggi famosi? Sono solo estranei casuali? I firmatari hanno posto molta fiducia nella chiave, o solo una conferma che l'hanno firmata. Se i firmatari sono persone di cui ti fidi, lo accetti rapidamente. Ma persone a caso? Forse ti puoi fidare se un numero sufficiente di loro lo ha firmato. Ed è qui che si imposta il livello soglia di fiducia. Ti fidi di una chiave firmata dal tuo migliore amico. Ti fidi di una chiave che il tuo migliore amico ha detto è stata firmata da un bravo ragazzo, ma forse non quella in cui il tuo amico ha detto "Non lo conosco bene". Altrimenti, forse sceglierai di fidarti se ha 10 o più firme casuali.

In definitiva, esiste un "set strong" di circa 50.000 firmatari di cui le persone di tutto il mondo si fidano. Se due o tre di loro hanno firmato una chiave, è una strong indicazione che dovresti aver fiducia anche in essa. Le persone di quel gruppo sono chi vuoi veramente firmare le tue chiavi in modo che i membri del pubblico possano fidarsi delle tue.

Organizzazioni

Quindi ora ci sono alcune persone nella tua organizzazione che vuoi affidare alle chiavi pubbliche di PGP. Come si fidano delle loro chiavi? Per prima cosa, invitali a firmare a vicenda le chiavi. Quindi, falli firmare da altri. Molti altri. Pubblica le chiavi pubbliche di quei dipendenti nella pagina "contattaci" del tuo sito web ufficiale. Quello che vuoi è stabilire molte connessioni nella rete di fiducia in modo che molte persone, alcune delle quali sono rispettate e degne di fiducia, abbiano attestato che questi impiegati sono coloro che tu dici di essere.

    
risposta data 20.10.2016 - 23:38
fonte
-1

Una società può semplicemente eseguire il proprio server delle chiavi e controllarne tutte le chiavi, di solito su un server chiamato keys.company.com.

C'è SKS per Linux e altri o se è richiesto qualcosa per Windows, c'è un Enterprise KeyServer: link

    
risposta data 20.10.2016 - 14:46
fonte

Leggi altre domande sui tag