Le informazioni sulla fiducia di PGP / GnuPG sono trasferite ai server chiave?

Naviga le tue risposte
1

Quando si firma una chiave X nel modello PGP Web of Trust, assegno la validità piena della chiave. Altre persone che hanno la mia chiave nel loro portachiavi possono considerare X come valido nella misura in cui hanno piena fiducia in me (fiducia del proprietario).

Questo meccanismo funziona solo se le persone conoscono quale chiave ho firmato. Posso presumere che tali informazioni sulla firma siano archiviate sui server delle chiavi? Significa che devo rispedire la mia chiave a un server di chiavi dopo aver firmato la chiave di qualcuno?

Sono un po 'confuso, perché in " Qual è il significato esatto di questo output gpg in merito alla fiducia? " la prima risposta contiene la dichiarazione che

... trust is a kind of signature on other keys, it does not get distributed when uploading keys to key servers.

Non capisco come funziona il modello di trust PGP se questo fosse vero.

    
posta null 18.06.2015 - 17:00
fonte

1 risposta

2

This mechanism only works if people know which key I have signed. Can I assume that such signing information is stored on key servers?

Sì, le certificazioni sono archiviate sui server delle chiavi.

Does this mean that I have to resend my key to a key server after having signed someone's key?

Devi caricare una chiave, ma non la tua, ma caricare la chiave certificata (o spedirla al proprietario, che può decidere se caricarla o meno).

Devi distinguere tra diversi tipi di fiducia.

Certificazioni (Firmatario Trust)

OpenPGP si aspetta che la fiducia nell'identità sia pubblica, quindi le certificazioni vengono condivise. "Credo che Alice sia davvero chi afferma di essere" è una dichiarazione basata su fatti che possono essere condivisi senza ulteriori implicazioni (forse a parte l'analisi della rete e il clustering è possibile).

Trust proprietario

Dall'altro, devi decidere su chi fidarti. Le certificazioni rilasciate sono valide solo se una chiave stessa è valida (in modo da poter costruire un percorso di fiducia per l'altro utente) e ci si fida delle certificazioni di tutti gli utenti intermedi (o fiducia parziale su percorsi diversi). " C'è fiducia e poi c'è fiducia e poi c'è fiducia (un bell'articolo sulla fiducia in OpenPGP) chiamato questo "trust to vouch".

La condivisione di questo tipo di fiducia potrebbe avere pesanti implicazioni. Non ti fidi delle capacità per certificare correttamente gli altri del tuo capo, moglie / marito? Potrebbero ottenere questo molto sbagliato . Rivela anche le connessioni sociali a un livello molto più profondo, in quanto devi conoscere l'altra persona fino a un certo punto, mentre puoi certificare in sicurezza l'identità di un estraneo verificando la sua carta d'identità / passaporto.

    
risposta data 18.06.2015 - 17:41
fonte

Leggi altre domande sui tag

Una cartella malevola viene creata automaticamente? [chiuso] Controlla HMAC dopo aver completato la decodifica o prima?