So che nei portachiavi PGP locali, c'è un'idea di fiducia: mi fido di questa chiave in definitiva, questa chiave meno di quella, ecc.
Questo web-of-trust è esportabile? Ad esempio, se mi fido di [email protected] e si fida di [email protected], posso importare la loro rete di fiducia?
Qualcuno potrebbe inviarti il loro trustdb, ma non sono sicuro che tu possa unirli. (Ho solo eseguito il backup del mio trustdb, quindi non avrei dovuto ripristinare i livelli di attendibilità sulle chiavi di cui mi fido.)
Indipendentemente da ciò, sembra che quello che stai cercando sia la transitività: che se ti fidi di A e A si fida di B, allora ti fidi di B. Esiste, ma solo su un singolo livello.
Quando contrassegni che ti fidi di una chiave, stai indicando quanto ti fidi di quella chiave per verificare altre chiavi. (Di solito, quanto ti fidi del proprietario di quella chiave per fare certificazioni sulla legittimità di altre chiavi.) Il manuale sulla privacy di GNU descrive il modello di fiducia di OpenPGP e il modo in cui fidarsi di una chiave ti consente di accertare la validità delle chiavi nel tuo mazzo di chiavi. In basso, c'è un grafico e un esempio che è particolarmente utile. Tieni presente che Alice si fida di una manciata di chiavi e che tale fiducia viene utilizzata per accertare la validità delle chiavi firmate da loro.
Quindi, nel tuo esempio originale, se ti fidi (completamente) di [email protected] e hanno firmato la chiave per [email protected], il modello di fiducia pgp considera [email protected] a valido , ma non utilizza le firme fatte da quella chiave per i calcoli di validità. (A meno che, naturalmente, tu non abbia creduto anche a quella chiave.)
Si noti che la fiducia marginale richiede 2 percorsi di fiducia a una chiave per considerarla valida: ciò è utile per le persone che non sono estremamente attente riguardo alle chiavi che firmano, o anche se siete solo paranoici e vogliono 2 fonti di verità.
Ci sono due tipi di fiducia: fidarsi dell'autenticità degli altri (denominati sign in OpenPGP) e fidarsi di una sorta di "capacità di rilascio", quindi se si ha fiducia nelle firme, qualcun altro ha emesso (denominato trust in OpenPGP).
Un semplice esempio può rendere più chiare queste categorie: ci sono alcune persone di una certa autorità nel mondo del software libero, consideriamo Linus Torvalds, Richard Stallman o il "inventore" PGP Phil Zimmermann. Molto probabilmente non li hai mai incontrati per la firma delle chiavi, ma comunque potresti fidarti delle loro firme: leggi le loro qualità, i loro obiettivi. Se ti fidi delle loro chiavi ( gpg --edit-key [key-id] , poi trust ), non viene ancora ottenuto nulla. Qualcuno potrebbe aver caricato una chiave con il loro nome. Ma se riesci a creare un qualche tipo di firma e fiducia in una di esse, sarai in grado di verificare tutte le chiavi che hanno firmato. Forse una volta hai firmato uno sviluppatore Debian che ha incontrato Torvalds per lo scambio di chiavi?
Le firme sono pubbliche. Di solito ci si riferisce se qualcuno parla del (OpenPGP) Web of Trust . Puoi scaricare tutte le firme (pubblicamente note) su una determinata chiave utilizzando gpg --recv-keys [key-id] da qualche server delle chiavi, o anche recuperare un dump completo del server delle chiavi (nel 2014, circa 6 GB). keysigning.org elenca alcuni dei mirror.
Fiducia viene gestito localmente e non condiviso sui server delle chiavi. Di chi ti fidi è molto più sensibile. Firmare qualcuno potrebbe accadere a chiunque incontri in una conferenza o ovunque, non rivela necessariamente il tuo social network. La fiducia sarebbe - e un tuo amico potrebbe criticare che non ti fidi di lui. Potrebbe piacerti, ma sta facendo un buon lavoro nella verifica degli ID?
Leggi altre domande sui tag pgp