¿Es responsable de firmar una clave OpenPGP sin verificar la identidad de la persona?

Question

¿Es responsable de firmar una clave OpenPGP sin verificar la identidad de la persona?

#1 de Jens Erat (5 votos)

2

Con frecuencia uso GPG para verificar las descargas. Al hacer eso implícitamente puse mi confianza en una clave proporcionada por el autor. Al menos confío en la clave suficiente para ejecutar el software verificado usando la clave dada en mi computadora. Algunos ejemplos pueden ser la clave de un mantenedor de distribución de GNU / Linux publicada en su página de inicio (disponible a través de HTTPS) o el autor de un programa que haga referencia a su perfil de Keybase.io que se pretende utilizar para obtener una clave GPG para la verificación de paquetes seleccionados.

Para marcar estas claves como de confianza explícita en lugar de solo importarlas en mi conjunto de claves, parece razonable firmarlas con mi clave. El nivel de certificación de la persona (0x11) parece ser apropiado en este caso. Extendiendo que podría ser útil hacer que mis firmas estén disponibles públicamente para que un amigo mío que descargue un paquete del mismo autor pueda beneficiarse de tener la clave marcada como segura de usar.

¿Existen algunos inconvenientes sustanciales en este enfoque, excepto por cuestiones de privacidad?

openpgp web-of-trust

pregunta raindev 03.11.2017 - 22:13

fuente

1 respuesta

Lea otras preguntas en las etiquetas openpgp web-of-trust

¿Podría ser peligrosa una pregunta de SE que ejecuta un SVG desde un sitio web privado? ¿Puede reemplazar el certificado TLS en una aplicación anclada?

score 5 · Accepted Answer

No hay reglas en su política de certificación personal. De hecho, RFC 4880, OpenPGP declara:

Hay varios significados posibles para una firma, que son indicado en un octeto de tipo de firma en cualquier firma dada. Por favor tenga en cuenta que la vaguedad de estos significados no es un defecto, sino un Característica del sistema. Porque OpenPGP coloca la autoridad final para validez en el receptor de una firma, puede ser que uno El acto casual del firmante podría ser más riguroso que otro acto positivo de la autoridad [...]

Ya proporcioné una discusión adicional sobre el significado (y la imprecisión) de las certificaciones en "¿Puedo firmar un ¿Clave PGP sin una reunión de IRL? " .

Si está seguro acerca de la clave del proyecto de software y también considera que podría ser relevante compartir esta certificación, proporcionar una certificación pública podría ser algo razonable. Personalmente, también lo hago (pero no lo hice a menudo, todavía), usando el mismo nivel de firma "sig1 / 0x11 ". Si piensa más detenidamente qué niveles de certificación debe usar y tiene una definición más o menos rígida, proporcione una política de certificación ( "¿Qué está diciendo cuando firma una clave PGP?" ) podría ser útil si otras personas realmente consideran seguir sus certificaciones en la red de confianza.

Si usa GnuPG y solo desea emitir una firma "privada" que no debe compartirse con los servidores de claves y, de lo contrario, debe exportarse, también está la característica de firma local ( lsign ) .