¿Maneras de firmar la clave pública de gpg para que sea confiable?

22

Tengo un servicio a través de SSL que le da al usuario un código por una razón específica. Quiero firmar el código con la clave privada del servidor web ( gpg --clearsign ) y enviar el código firmado para que puedan verificar su origen después de salir de mi sitio.

Lamentablemente me sale el error:

gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.

Apenas entiendo lo que significa, aunque no estoy seguro de un método para proporcionar la clave pública de mi servidor mientras mantengo la confianza.

¿Tengo que "firmar" la clave pública que se exporta (y luego se entrega al usuario) con el usuario a quien se exportó?

¿Cuáles son algunos métodos simples para proporcionar esta confianza?

He leído acerca de los servidores de llaves y, francamente, eso no es realmente una opción para mí, no estoy seguro de cómo puedo hacer que esto funcione.

    
pregunta Ken Bachmann 05.09.2011 - 10:03
fuente

1 respuesta

18

Básicamente el problema es una cuestión de confianza.

Cuando firma un archivo, alguien necesita recuperar su clave pública para verificar la firma, pero ¿cómo pueden estar seguros de que esta es realmente su firma?

GPG proporciona una manera de hacer eso que se llama la Web de confianza. Por ejemplo, digamos que eres Bob y quieres hablar con Alice. Ya conoces a Ted, que es amigo tuyo y ya intercambiaste la clave para hablar sobre el uso de GPG. Sabes que Ted también conoce a Alice. Así que puedes pedirle que te dé la clave pública de Alice y la firme. Por lo tanto, cuando lea esta clave, puede verificar la firma de Ted para asegurarse de que la clave sea válida.

Por supuesto, debes tener fe en que Ted se comportará correctamente y no firmará nada a ciegas.

Por lo tanto, en su caso, no puede evitar esta advertencia. El usuario debe poder recuperar la clave de una manera que encuentre segura, para que pueda marcar esta clave como confiable. A menos que conozca a otras personas que conozcan a su cliente y puedan firmar su clave para el nuevo cliente. Definitivamente, las claves autofirmadas son inútiles (puedo hacer falsas y firmar con ellas).

    
respondido por el M'vy 05.09.2011 - 10:33
fuente

Lea otras preguntas en las etiquetas