¿Cuál es el significado exacto de esta salida de gpg con respecto a la confianza?

23

Cuando importo firmas o recibo una clave con gpg, genera algunas líneas crípticas como:

gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:  16  trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: depth: 1  valid:  16  signed: 115  trust: 1-, 1q, 1n, 1m, 12f, 0u
gpg: depth: 2  valid: 105  signed: 189  trust: 81-, 11q, 0n, 4m, 9f, 0u
gpg: depth: 3  valid:  29  signed: 120  trust: 19-, 9q, 0n, 0m, 1f, 0u

Entiendo la criptografía asimétrica y de web de confianza. Pero no sé qué significan exactamente "marginales", "válidos", "firmados" y todas las letras detrás de la confianza.

    
pregunta Thomas Koch 25.08.2013 - 20:00
fuente

1 respuesta

23

La documentación oficial de GnuPG con respecto a esta salida es bastante incómoda.

El modelo de confianza OpenPGP

gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model

De forma predeterminada, GnuPG utiliza el modelo de confianza OpenPGP. En esto, puede confiar en una clave, lo que le permite validar otras claves.

Claves de confianza

Se puede confiar en las claves. La confianza permite que las claves validen otras claves. Aunque la confianza es un tipo de firma en otras claves, no se distribuye cuando se cargan claves en servidores clave.

Hay diferentes niveles de confianza:

  
  • - No hay propietario asignado / aún no calculado
  •   
  • El cálculo de confianza de e ha fallado; probablemente debido a una clave caducada
  •   
  • q No hay suficiente información para el cálculo
  •   
  • n Nunca confíes en esta clave
  •   
  • m Marginalmente de confianza
  •   
  • f Totalmente de confianza
  •   
  • u de confianza definitiva
  •   

(tomado de manual de GnuPG, capítulo gestión de claves )

Las tres últimas categorías son principalmente importantes: en última instancia, se confía en sus propias claves; Las firmas de claves de confianza total se consideran igualmente dignas de las suyas; mientras que las claves de confianza marginal requieren más rutas de firma para que una clave sea válida.

Claves válidas

En el modelo de confianza predeterminado de OpenPGP, una clave es completamente válida si:

  
  1. está firmado por suficientes claves válidas , lo que significa   
    • lo has firmado personalmente,
    •   
    • ha sido firmado por una clave totalmente confiable, o
    •   
    • ha sido firmado por tres claves de confianza marginal; y
    •   
  2.   
  3. la ruta de acceso de las claves firmadas desde K a su propia clave es de cinco pasos o menos.
  4.   

(tomado del manual de GnuPG, capítulo 'Validación de otras claves en su anillo de claves públicas' )

Otras claves son marginalmente válidas ; mostrando que hay un camino de confianza, sin embargo, no es lo suficientemente fuerte. Resalté la palabra "válido" en la cita anterior: ¡solo se tiene en cuenta la confianza de las claves totalmente válidas para calcular la validez! En GnuPG, se puede configurar el modelo de confianza predeterminado.

La página de manual vinculada directamente arriba también contiene algunos ejemplos para el cálculo de confianza, pero ¡cuidado con el modelo de confianza no predeterminado aplicado para simplificar!

Información de la base de datos de confianza de GnuPG

Esta información se imprime cada vez que se actualiza la base de datos de confianza, por ejemplo, después de recibirla de un servidor clave.

gpg: depth: 0  valid:   1  signed:  16  trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: depth: 1  valid:  16  signed: 115  trust: 1-, 1q, 1n, 1m, 12f, 0u
gpg: depth: 2  valid: 105  signed: 189  trust: 81-, 11q, 0n, 4m, 9f, 0u
gpg: depth: 3  valid:  29  signed: 120  trust: 19-, 9q, 0n, 0m, 1f, 0u

Esta salida describe tu web de confianza. Las letras representan los niveles de confianza enumerados anteriormente. En nivel 0 , encontrará sus propias claves (en última instancia, de confianza). No debería haber ningún otro tipo de confianza en este nivel. Esta clave es válida (por supuesto).

La salida adicional representa mi interpretación que no se basa en leer la documentación (faltante) ni el código fuente: firmó 16 claves, por lo que todas ellas son completamente válidas en nivel 1 . Para 12 de ellos emitiste plena confianza, uno de ellos solo marginal. De nuevo, llevan a otras 105 claves válidas en las que confía en nivel 2 . Algunos de ellos son de confianza otra vez, lo que lleva a otras 29 claves válidas en nivel 3 .

Comparando esta salida con lo que los los servidores de llaves informan , probablemente deberías actualizar su llavero ;)

Más claves de confianza en niveles más profundos podrían crear los niveles 0-5 si no cambia la longitud de ruta máxima de cinco propuesta por el modelo de confianza de OpenPGP.

Werner Koch, el autor principal de GnuPG, dijo una vez en el Lista de correo de GnuPG :

  

Necesitarías mirar la fuente. Sin embargo, si conocías bien el WoT, deberías poder averiguar qué es esto. [...] Deberías considerar esto como una salida de depuración.

    
respondido por el Jens Erat 25.08.2013 - 23:38
fuente

Lea otras preguntas en las etiquetas