¿Cómo decido si firmar una clave pública PGP de alguien? Estaba mirando algunas páginas de contacto y tienen una solicitud para que las personas firmen su clave pública. ¿Qué tan serio es el compromiso de firmar la clave pública de alguien?
En realidad, solo debes firmar la clave de alguien si realmente la conoces y confías en que la clave es la suya.
Cuando lo firmas, estás diciendo que los revisaste, que sabes que es su clave.
Luego, se da cuenta de que "¿confiaría en que esta persona sea tan completa como yo al evaluar la identidad de otras personas?" Es posible que tenga amigos que sean cuidadosos, o personas con las que esté familiarizado y que ocupen un puesto de responsabilidad, por lo que cree que pueden ser confiables, o que podrían ser un completo extraño, por lo que no confiaría en ellos en un combate agotado. Ahí es cuando asignas el nivel de confianza.
Una página web que le ruega que la firme podría ser alguien que está tratando de construir un títere de calcetín, una identidad falsa o incluso el robo de la identidad de otra persona. Peor aún, podrían estar recolectando las identidades de personas que son lo suficientemente crédulas como para firmar una clave aleatoria sin proceso de validación.
Necesitas verificar su identidad. Normalmente, esto requerirá que usted les muestre dos formas de validación de identidad (por ejemplo, una tarjeta de identificación y una licencia de conducir) y al mostrarles un documento que determina que realmente viven en su dirección indicada (una factura de electricidad). o agua por ejemplo).
Por ejemplo, CAcert es una autoridad de certificados impulsada por la comunidad. A veces hacen fiestas firmantes:
Para crear certificados de mayor confianza, los usuarios pueden participar en una web de Sistema de confianza mediante el cual los usuarios se reúnen y verifican físicamente entre sí. identidades CAcert mantiene el número de puntos de aseguramiento para cada uno. cuenta. Los puntos de garantía se pueden obtener a través de diversos medios, Principalmente por tener la identidad de uno físicamente verificada por los usuarios Clasificado como "Asesores". Tener más puntos de seguridad permite a los usuarios Más privilegios, como escribir un nombre en el certificado y más Plazos de caducidad de los certificados. Un usuario con al menos 100 aseguramiento. puntos es un Asegurador potencial, y puede, después de aprobar un Asegurador Desafío [5]: verifica otros usuarios; Más puntos de aseguramiento permiten al Asegurador de asignar más puntos de garantía a otros.
Lea otras preguntas en las etiquetas public-key-infrastructure digital-signature pgp rsa