[PGP] puede paralizarse por una analitud excesiva. - Phil Zimmermann
Preámbulo
Estoy en el proceso de crear mi propia web de confianza . Es decir, quiero que la gente (usuarios de PGP ...) esté, bastante bien, segura de que, al usar mi clave pública de PGP, realmente se están comunicando con el verdadero yo (lo que se puede lograr al verificar quién firmó). Mi clave pública, y si parecen ser confiables, yo también podría serlo.
Cuando mi clave [pública] tendrá suficientes firmas de confianza, mis propias firmas en las claves de otras personas tendrán mucho más sentido. Ejemplo de mal ejemplo: firmo la clave de Mallory (un mal tipo), y un año más tarde, mi clave está firmada por, digamos, un mantenedor de Debian (un tipo muy confiable). Si se confía en ese chico y firmó mi clave, entonces significa que yo también soy de confianza; y si yo también soy de confianza, significa que Mallory también es de confianza, right?
Pregunta
Firmo las claves públicas de otras personas con el siguiente comando GPG (en Linux):
gpg --ask-cert-level \
--cert-policy-url http://diti.me/pgp/ \
--sign-key 0xFFFFFFFE
El comando anterior me permite firmar la clave 0xFFFFFFFE con una URL de la política (dando información sobre cómo verifico y firmo las claves) y me permite elegir:
How carefully have you verified the key you are about to sign actually belongs
to the person named above? If you don't know what to answer, enter "0".
(0) I will not answer. (default)
(1) I have not checked at all.
(2) I have done casual checking.
(3) I have done very careful checking.
La pregunta es: ¿Puedo firmar, con el nivel 3, la clave de un amigo que conozco desde hace varios años? No hace falta decir que confío en él (y su seriedad en la asignación de claves), y aún realizaría una comprobación cuidadosa (preguntas extendidas, agregar un campo TXT en los registros de su nombre de dominio, etc.).
Phil Zimmermann quería que people usara PGP, no simplemente geeks . Quiero evitar lo que él llama "analedad excesiva", mientras que todavía se me considera una persona seria (para la red de asuntos de confianza). Como tal, me gustaría mezclar los dos juntos: para simplificar el proceso de verificación para los amigos cuyos usuarios pueden verificar con precisión la identidad y la clave, sin romper mi WoT.
Espero que mi pregunta y mis preocupaciones tengan sentido.