He estado pensando en construir un robot de asignación de claves basado en la web. Principalmente, quiero hacer esto para volver a sumergir mis dedos en el trabajo con PGP después de hace unos años de ignorarlo. El robot que tengo en mente simplemente haría la verificación por correo electrónico.
¿Este tipo de cosas son útiles para crear una Web de confianza PGP más sólida?
La teoría de la Web of Trust es que los participantes actúan como autoridades de certificación locales, verificando la correspondencia entre claves públicas y identidades Las garantías se pueden obtener de cadenas de firmas en claves basadas en la siguiente heurística: probablemente, un atacante podría corromper o engañar a algunos usuarios, pero no a todos. Entonces, si puede crear muchas cadenas de firmas, desde una clave en la que confíe a priori (su propia clave) hasta la clave que desea validar, y todas estas cadenas se irán a través de distintas claves intermedias, luego todas las presuntas verificaciones manuales involucradas se suman de alguna manera: si tiene 12 cadenas de este tipo, entonces, el atacante (que intenta hacerse pasar por un usuario) habría tenido que sobornar o engañar a Al menos 12 personas distintas para lograr tal imagen.
Si esta validación heurística es suficiente, está abierto a debate (personalmente, no me parece en absoluto decente, en lo que respecta a la seguridad). Sin embargo, el principio básico es que cualquier acto de firma de clave contribuye a la seguridad general solo en la medida en que la verificación de identidad correspondiente sea sólida contra la corrupción.
En el caso de su robot, el robot simplemente verificará el control de una dirección de correo electrónico. Desafortunadamente, los correos electrónicos no son un sistema seguro; de hecho, PGP se ha inventado precisamente porque los correos electrónicos no son seguros. Cuando usa PGP, asume que los posibles atacantes pueden leer y falsificar correos electrónicos a voluntad; Esa es la razón por la que usas PGP. En ese contexto, parece imprudente basar la seguridad de las firmas de clave para identificación en los correos electrónicos. O, dicho de otro modo: la contribución de las firmas producidas por su robot a la "garantía de validación" general debería considerarse muy baja. No duele per se, pero no ayudará mucho.
(O, mejor dicho, puede lastimarse si las personas comienzan a confiar en tales firmas por más de lo que realmente proporcionan).
Ya existe un sistema de este tipo: El servidor de claves de PGP.com está verificando las direcciones de correo electrónico antes de aceptarlas. y luego firma tu llave.
El significado de tal firma es discutible, como ya describió Tom Leek. OpenPGP desconecta la confianza en el sistema de correo (o cualquier otro mensaje) de la confianza en la identidad de alguien, un robot de firma no ayudaría a lograrlo. Sin embargo, podría ser útil para encontrar la clave de alguien, dado que ya conoce su dirección de correo y desea algún tipo de búsqueda automática. Encontrar una clave allí podría usarse como un punto de entrada para encontrar una ruta de confianza, y al menos (algo) evita que las personas carguen claves falsas (busque en los servidores de claves [email protected] ).
Hay algunas autoridades de firma más relevantes en la web de confianza de OpenPGP (dependiendo de si confía en ellas, por supuesto): CAcert (a Por lo general, la garantía de CAcert es mucho más intensa que la comprobación de la identificación de la parte firmante, confío más en CAcert que en la firma "normal") y especialmente en Alemania Heise (una empresa de publicaciones de tecnología). Estoy bastante seguro de que hay algunas CA más relevantes.
Lea otras preguntas en las etiquetas pgp