Cosa identifica un'entità in PGP?

1

Quando una persona A firma una chiave PGP il cui uid è: "Max Anderson < [email protected] >", quindi sta assicurando che questa chiave appartiene veramente alla persona il cui nome è Max Anderson e di cui l'indirizzo email è [email protected], in modo che tutte le altre persone che si fidano di A possano in seguito accertarsi che questa chiave appartenga realmente a Max Anderson.

Ok, molto chiaro e semplice finora.

Ma la domanda è: c'è solo una persona sulla terra che si chiama Max Anderson?

Ci sono molti Max Anderson e tutti sono reali e autentici e hanno chiavi firmate sul server delle chiavi!

Quindi firmare la chiave di uno degli Anderson con il suo nome e l'e-mail fa in modo che appartenga a Max Anderson (se supponiamo che la rete di fiducia sia davvero affidabile) ma come si può effettivamente distinguere quale Anderson intende esattamente?

    
posta user173323 19.03.2018 - 11:36
fonte

1 risposta

1

Questo è ciò che è Web of Trust . Non devi identificare la persona in base al nome (chiunque può scegliere un nome), ma in base all'impronta digitale. L'idea è che potresti aver incontrato, di persona, qualcuno che si è incontrato di persona e così via. È come il sei gradi di separazione , ma usando la crittografia per stabilire la fiducia. Quando le persone visitano keyigning parties , o semplicemente capita di incontrare qualcuno a un evento, spesso firmano le chiavi di questa persona per testimoniare che si fidano che sono davvero chi dicono di essere. Dopotutto, se incontri qualcuno di persona e ti dicono la loro impronta digitale, puoi essere molto più sicuro che sia legittimo se togli la chiave da un server delle chiavi.

Spero che qualcuno nella tua rete di fiducia abbia incontrato e firmato una chiave per qualcuno che, attraverso qualsiasi livello di riferimento indiretto, abbia incontrato Max Anderson, portandoti a fidarti di lui per delega. Questo sito web lo spiega in maggior dettaglio. Si noti tuttavia che molte persone non utilizzano la rete di fiducia e invece si affidano interamente al principio di TOFU , o Trust on First Uso. Ciò fornisce una minore quantità di protezione, ma non richiede di essere coinvolto nella rete di fiducia.

Quindi che aspetto ha? Diciamo che tu e io ci incontriamo in qualche evento e firmiamo a vicenda le chiavi. Alcuni anni fa, ho incontrato Alice ad una festa per la consegna delle chiavi. Naturalmente, Alice conosce anche Bob. Bob lavorava per il capo di Max Anderson, quindi è anche nella rete della fiducia. Attraverso questo web, anche se conosci solo me e non il capo di Alice, Bob o Max Anderson, sai ancora che la chiave pubblica che hai è di proprietà del vero Max Anderson. Ora ovviamente una vera rete di fiducia ha link ridondanti (quindi web ), che ti permettono di sapere in modo più affidabile che la chiave pubblica che vedi è la vera Max Anderson.

Ecco alcune altre domande e risposte che potrebbero essere illuminanti:

risposta data 19.03.2018 - 11:46
fonte

Leggi altre domande sui tag