Diciamo che mi fido della persona A (la cui chiave pubblica è in un server delle chiavi) e voglio sapere se posso fidarmi anche della persona B (la chiave della pubblicazione è anche in un server delle chiavi).
Come posso verificare di avere una catena di fiducia tra le persone A e B? O meglio: in grado di verificare se c'è una catena da qualsiasi persona che mi fido della persona B?
Convalidare le chiavi significa trovare un percorso basato sulle certificazioni, in cui sono valide anche tutte le chiavi intermedie. Ciò richiede che siano valide (esiste un percorso di fiducia per quelle chiavi) e attendibili (sono considerate per la convalida di altre chiavi) chiavi intermedie e certificazioni emesse da tali chiavi (che per i bordi tra le chiavi).
How can I verify that I have a chain of trust between person A and B?
GnuPG farà questo per te: calcolerà la parte attendibile della tua vista locale sulla rete di fiducia basata su certificazioni e fiducia configurata.
Or better: that can verify if there is a chain from any person that I trust to person B?
Per il caso generale, ciò richiede la conoscenza dell'intera rete di fiducia di OpenPGP. Il pathfinder PGP è un sito Web che fa esattamente questo per te senza dover memorizzare un dump locale di tutte le chiavi. Usando il software wotsap , puoi farlo anche a livello locale, ma è piuttosto coinvolgente.
Entrambe le applicazioni elencano solo i percorsi di trust possibili , ma forniscono supporto per la convalida di chiavi intermedie all'interno di GnuPG (ed emettono fiducia in movimento) finché non sei stato in grado di convalidare la chiave di destinazione.
Leggi altre domande sui tag digital-signature public-key-infrastructure key-management pgp web-of-trust