¿Qué significan estas firmas de mi clave PGP?

Question

¿Qué significan estas firmas de mi clave PGP?

#1 de RubberStamp (2 votos)

3

Cuando estaba viendo la información clave de mi clave PGP en un servidor de claves, no pude entender el significado de algunas de las firmas.

Aquí está la información clave del servidor de claves ( enlace ):

Type bits/keyID     cr. time   exp time   key expir

pub   256E/C7AD3F62 2017-09-02            

uid DDoSolitary <[email protected]>
sig  sig3  C7AD3F62 2017-09-02 __________ __________ [selfsig]

sub   256E/3A2792F6 2017-09-06            
sig sbind  C7AD3F62 2017-09-06 __________ __________ []

sub   256e/3BEE2AA5 2017-09-02            
sig sbind  C7AD3F62 2017-09-02 __________ __________ []
sig  sig3  C7AD3F62 2017-09-02 __________ __________ []
sig sbind  C7AD3F62 2017-09-06 __________ __________ []

Creé esta clave con una subclave de cifrado ( 256e/3BEE2AA5 ) el 2017-09-02, y luego el 2017-09-06, agregué una subclave de autenticación ( 256E/3A2792F6 ).

Entiendo que el sig3 del uid y la firma sbind de la clave de autenticación ( 256E/3A2792F6 ) se utilizan para vincular la clave maestra con el uid / subclave. Sin embargo, me confesaron después de ver las firmas de la clave de cifrado ( 256e/3BEE2AA5 ). ¿Por qué hay tres firmas para ello y para qué se utilizan?

gnupg pgp

pregunta DDoSolitary 02.10.2017 - 19:31

fuente

1 respuesta

Lea otras preguntas en las etiquetas gnupg pgp

¿Cómo detecta WannaCrypt cuando alguien paga el rescate? ¿Cuál es la última vulnerabilidad de samba, y debería importarme?

score 2 · Accepted Answer

Si importo la clave pública que aparece en tu publicación, recibo este mensaje:

$ gpg --import pkey2.txt
gpg: key 50268311C7AD3F62: 11 duplicate signatures removed
gpg: key 50268311C7AD3F62: 5 signatures reordered
gpg: key 50268311C7AD3F62: public key "DDoSolitary <[email protected]>" imported
gpg: Total number processed: 1
gpg:               imported: 1

Como puede ver, las firmas adicionales que figuran en su clave pública están etiquetadas como duplicadas al importarlas y no afectan el funcionamiento o la confianza de la clave.

Las firmas adicionales son más probables de manipulaciones clave. Cada modificación de tu clave produce una firma.

Todas las firmas y fechas de las firmas se pueden extraer de la clave pública mediante la opción --list-packets de gpg .

    $ gpg --list-packets pkey.txt |grep -A1 ":signature"

:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504334453, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508055794, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508055418, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508056216, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504703268, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504334453, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504703268, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508055418, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504334453, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508056216, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508055794, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508553430, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504334453, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504703268, md5len 0, sigclass 0x18
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508055418, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1504334453, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508056216, md5len 0, sigclass 0x13
--
:signature packet: algo 22, keyid 50268311C7AD3F62
    version 4, created 1508055794, md5len 0, sigclass 0x13

Las fechas están en tiempo de UNIX EPOCH. Estas son todas las fechas de firmas ordenadas y en una forma más legible:

2017-09-02 06:40:53-00
2017-09-02 06:40:53-00
2017-09-02 06:40:53-00
2017-09-02 06:40:53-00
2017-09-02 06:40:53-00
2017-09-06 13:07:48-00
2017-09-06 13:07:48-00
2017-09-06 13:07:48-00
2017-10-15 08:16:58-00
2017-10-15 08:16:58-00
2017-10-15 08:16:58-00
2017-10-15 08:23:14-00
2017-10-15 08:23:14-00
2017-10-15 08:23:14-00
2017-10-15 08:30:16-00
2017-10-15 08:30:16-00
2017-10-15 08:30:16-00
2017-10-21 02:37:10-00

Es bastante fácil ver que los tiempos de firma se producen durante las manipulaciones de las teclas.

$ gpg --edit-key 688E1D093C3638F588890D4450268311C7AD3F62

pub  ed25519/50268311C7AD3F62
     created: 2017-09-02  expires: never       usage: SC  
     trust: unknown       validity: unknown
sub  ed25519/E758605C3A2792F6
     created: 2017-09-06  expires: never       usage: A   
sub  ed25519/6DC20782F6E9E2F3
     created: 2017-10-21  expires: 2018-10-21  usage: S   
sub  cv25519/1224F2883BEE2AA5
     created: 2017-09-02  expires: never       usage: E   
[ unknown] (1). DDoSolitary <[email protected]>
[ unknown] (2)  DDoSolitary <[email protected]>
[ unknown] (3)  [jpeg image of size 29903]

Por lo tanto, mirando la clave, no hay nada que se destaque como incorrecto en la clave, ya sea como se publicó en el servidor de claves públicas o en la clave importada.

Como nota al margen: el nivel de confianza en la clave pública que figura en mi sistema no será el mismo que en su sistema. La confianza está bajo control local. La confianza se establece como desconocida por defecto. Sin embargo, no es prudente confiar ciegamente en las claves públicas enumeradas en un servidor de claves.