Calcolo della legittimità PGP

0

Mentre studiavo PGP ho iniziato a dubitare su come calcolare la legittimità / validità di una chiave. Il problema sorge quando impostiamo che la legittimità della chiave viene calcolata come la somma ponderata dei valori di fiducia.

Qual è il modo corretto di sommare questi valori di fiducia all'interno del portachiavi? Sto solo aggiungendo i valori di fiducia di chiavi pubbliche valide o già legittime? O aggiungo i valori di fiducia indipendentemente dallo stato di legittimità della chiave?

Qual è il modo corretto di farlo 1) o 2)?

1) Il portachiavi contiene almeno certificati C da introduttori completamente affidabili con chiavi pubbliche valide o il portachiavi contiene almeno certificati M da introduttori marginalmente affidabili con chiavi pubbliche valide.

2) Il portachiavi contiene almeno certificati C da introduttori completamente fidati o il portachiavi contiene almeno certificati M da introduttori marginalmente affidabili.

1 e 2 differiscono solo sulla validità / legittimità delle chiavi aggiunte.

    
posta jlanza 14.03.2017 - 15:55
fonte

1 risposta

1

Il modello di fiducia PGP ha un modello di calcolo transitivo: quando una chiave è affidabile e valida (come certificato da altre chiavi valide e attendibili), viene considerata per determinare ulteriori chiavi valide.

Questo in realtà non corrisponde a nessuna delle tue opzioni, in quanto le "chiavi introduttrici" sono solitamente considerate quelle che formano "radici di convalida", ad esempio la tua chiave. GnuPG usa il termine "in ultima analisi fidato" per quelli. Di solito è la tua chiave, come tutto il resto può esprimersi con le certificazioni e rilasciare la fiducia.

Il modello di trust PGP predefinito è "Una chiave è valida se ha almeno una certificazione da una chiave completamente affidabile e valida, o almeno tre certificazioni di chiavi marginalmente affidabili e valide." GnuPG aggiunge un limite di lunghezza del percorso di cinque certificazioni dalle chiavi in ultima analisi fidate (o "introduttori di fiducia").

Il manuale di GnuPG fornisce un esempio illustrativo sul web dei calcoli di fiducia e attendibilità , e Ho discusso l'output di GnuPG sulla convalida della fiducia in un'altra domanda che potrebbe fornire ulteriori informazioni se hai già il tuo portachiavi .

    
risposta data 27.03.2017 - 21:33
fonte

Leggi altre domande sui tag