UID firmantes que no pertenecen a una persona RL con nombre completo

Question

UID firmantes que no pertenecen a una persona RL con nombre completo

#1 de Jens Erat (1 votos)

4

A veces me piden que firme UID seudónimos o que vea claves PGP que pertenecen a organizaciones en lugar de personas individuales. Estos, por naturaleza, no contienen el nombre de una persona de la vida real; por lo tanto, no hay una forma obvia de verificar tales identidades. (Un método que me ofrecieron fue demostrar la propiedad de un dominio relacionado con el UID al hacer que un documento firmado estuviera disponible en ese dominio, pero no pude decidir si esto era suficiente).

Sin embargo, existen razones para incluir dichas claves (al menos las de las organizaciones) en la web de confianza, por ejemplo, una clave de firma de lanzamiento de software debería tener algunas firmas. ¿Cuál sería una forma decente de validar dichas identidades (o: en qué condiciones podría declararse como "verificada" tal ID)?

pgp web-of-trust

pregunta aclow 25.12.2015 - 13:44

fuente

1 respuesta

Lea otras preguntas en las etiquetas pgp web-of-trust

Uso extraño de RSA: ¿qué tan seguro es? Investigando un posible servidor DNS falso (tal vez DNSChanger)

score 1 · Answer 1

En primer lugar, lo que debes firmar o no firmar es completamente tuyo. No hay reglas fijas sobre cómo verificar las ID, ni si se deben firmar apodos o no. De RFC 4880 , Tipos de firma:

[...] Por favor tenga en cuenta que la vaguedad de estos significados no es un defecto, sino un Característica del sistema. Porque OpenPGP coloca la autoridad final para validez en el receptor de una firma, puede ser que uno El acto casual del firmante podría ser más riguroso que otro acto positivo de la autoridad [...]

Por experiencia, la expectativa habitual es probablemente solo firmar nombres reales verificados. ¿Puede razonar la firma de seudónimos, cuál es la semántica de tal certificación? Un seudónimo es una identidad auto asignada, que no se puede verificar realmente. Bien podría haber casos de uso; Considere un grupo de personas que solo se conocen bajo sus seudónimos, que no quieren revelar su identidad real, como un grupo que se opone a la opresión gubernamental.

Al final, depende de usted decidir qué firmar o no firmar. Podría ser razonable proporcionar una política de certificación que explica cómo firmar las claves de otros . Esto permitirá que otros entiendan cómo verifica las identidades y lo que firma, para que puedan usar sus certificaciones cuando busquen rutas de confianza (dado que confían en usted / su clave).