Recientemente obtuve un CAcert Assurance y descubrí que puedo obtener mi clave PGP firmada por clave CAcert . Después de que obtuve su firma, el sitio web de CAcert sugirió que yo también firmara su clave.
Pregunta: Dejando de lado el estado, ¿cuáles son los pros y los contras de firmar a ciegas una clave arbitraria?
En principio, puede firmar cualquier clave que desee por cualquier motivo. Nadie está ahí para hacer cumplir nada, pero probablemente la gente se dará cuenta después de un tiempo y desconfíe de ti.
Nunca debes firmar claves que no puedas verificar de ninguna manera. Firmar es una declaración de que está seguro acerca de la identidad del otro, pero ¿cómo debería hacerlo?
Respecto a CAcert: si ya puede verificar su certificado raíz (para HTTP), puede leer su huella digital de OpenPGP en su sitio web. Si está bien para que usted firme su clave y la huella dactilar en el sitio web coincide con la que descargó, hágalo.
Si no está seguro de su certificado raíz, y no está incluido de forma predeterminada en su distribución, es posible que desee mantener la parte más alta del formulario de garantía, que contiene las huellas digitales ( el asegurador está autorizado y se le solicita que se lo entregue!). No es razonable suponer que alguien pueda alterar el formulario de garantía que el otro miembro imprimió en su sitio y al mismo tiempo manipular el sitio web de CAcert.
CAcert es la autoridad de certificación más grande en la red de confianza OpenPGP, tienen una posición muy central. Si firma y confía en él (y, por lo tanto, confía en sus métodos para firmar las claves de otros usuarios de CAcert), puede ampliar la parte de la red de confianza de OpenPGP que puede validar (generalmente por magnitudes). Hacerlo es casi lo mismo, como agregar su certificado raíz a su navegador.
Si no desea firmar públicamente su clave, puede usar una firma local que no se cargará a los servidores clave.
Firmé y confié en su clave, ya que quiero aprovechar la gran cantidad de claves que puedo validar ahora y, potencialmente, confiar más en los métodos de seguridad de CAcert que en lo que hace la mayoría de las personas en las firmas de claves OpenPGP.