¿Es responsable de firmar una clave OpenPGP sin verificar la identidad de la persona?

2

Con frecuencia uso GPG para verificar las descargas. Al hacer eso implícitamente puse mi confianza en una clave proporcionada por el autor. Al menos confío en la clave suficiente para ejecutar el software verificado usando la clave dada en mi computadora. Algunos ejemplos pueden ser la clave de un mantenedor de distribución de GNU / Linux publicada en su página de inicio (disponible a través de HTTPS) o el autor de un programa que haga referencia a su perfil de Keybase.io que se pretende utilizar para obtener una clave GPG para la verificación de paquetes seleccionados.

Para marcar estas claves como de confianza explícita en lugar de solo importarlas en mi conjunto de claves, parece razonable firmarlas con mi clave. El nivel de certificación de la persona (0x11) parece ser apropiado en este caso. Extendiendo que podría ser útil hacer que mis firmas estén disponibles públicamente para que un amigo mío que descargue un paquete del mismo autor pueda beneficiarse de tener la clave marcada como segura de usar.

¿Existen algunos inconvenientes sustanciales en este enfoque, excepto por cuestiones de privacidad?

    
pregunta raindev 03.11.2017 - 22:13
fuente

1 respuesta

5

No hay reglas en su política de certificación personal. De hecho, RFC 4880, OpenPGP declara:

  

Hay varios significados posibles para una firma, que son      indicado en un octeto de tipo de firma en cualquier firma dada. Por favor      tenga en cuenta que la vaguedad de estos significados no es un defecto, sino un      Característica del sistema. Porque OpenPGP coloca la autoridad final para      validez en el receptor de una firma, puede ser que uno      El acto casual del firmante podría ser más riguroso que otro      acto positivo de la autoridad [...]

Ya proporcioné una discusión adicional sobre el significado (y la imprecisión) de las certificaciones en "¿Puedo firmar un ¿Clave PGP sin una reunión de IRL? " .

Si está seguro acerca de la clave del proyecto de software y también considera que podría ser relevante compartir esta certificación, proporcionar una certificación pública podría ser algo razonable. Personalmente, también lo hago (pero no lo hice a menudo, todavía), usando el mismo nivel de firma "sig1 / 0x11 ". Si piensa más detenidamente qué niveles de certificación debe usar y tiene una definición más o menos rígida, proporcione una política de certificación ( "¿Qué está diciendo cuando firma una clave PGP?" ) podría ser útil si otras personas realmente consideran seguir sus certificaciones en la red de confianza.

Si usa GnuPG y solo desea emitir una firma "privada" que no debe compartirse con los servidores de claves y, de lo contrario, debe exportarse, también está la característica de firma local ( lsign ) .

    
respondido por el Jens Erat 03.11.2017 - 22:35
fuente

Lea otras preguntas en las etiquetas