GPG Web-of-Trust Level [duplicado]

Navega tus respuestas
2

(y realmente lo siento por mi inglés)

Tengo una pregunta sobre Web-of-Trust of GPG.

Digamos que A y B firmaron las claves públicas de cada uno y B y C firmaron las claves públicas de cada uno. En este caso, A puede confiar en C. Pero, si C y D firmaron las claves públicas de cada uno, ¿entonces A puede confiar en D (incluso si A no se reunió con C)? ¿Cuál es el límite de nivel de la web de confianza?

    
pregunta yozel 20.11.2014 - 10:46
fuente

2 respuestas

2

El modelo de confianza de GnuPG predeterminado permite una longitud máxima de cinco rutas de confianza, que pueden estar configurado De la documentación oficial:

  

Una clave K se considera válida si cumple dos condiciones:

     
  1. está firmado por suficientes claves válidas, lo que significa      
    • lo has firmado personalmente,
      •   
    • ha sido firmado por una clave totalmente confiable, o
      •   
    • ha sido firmado por tres claves de confianza marginal; y
      •   
    2.   
  2. la ruta de acceso de las claves firmadas desde K a su propia clave es de cinco pasos o menos.
    3.   

Le di una explicación más detallada sobre cómo funciona el cálculo de validez en otra respuesta a ¿Cuál es el significado exacto de esta salida de gpg con respecto a la confianza? .

    
respondido por el Jens Erat 20.11.2014 - 11:45
fuente
0

Estableces el nivel y el límite de confianza que tienes.

PGP tiene dos tipos de confianza:

La confianza implícita es cuando firmas las claves de alguien, punto. Normalmente se publica en varios servidores.

La confianza explícita significa que confía en las claves firmadas por el individuo, para incluir a las personas que nunca ha conocido y es PRIVAT.

Si A se reunía con B y quería utilizar una suite de PGP, tendrían que firmar las claves de cada uno (Confianza implícita).

Si B conoció a C y firmó las claves de cada uno, tienen una confianza implícita. Sin embargo, A no confía implícitamente en C. A tendría que confiar en B para verificar la identidad de C (Explicit Trust).

Importa la implementación que uses. Digamos GNUPG:

Se encuentra en el manual de GNUPG en 'Administración de su Web of Trust' enlace

Si A usa GNUPG, usarían las opciones --completes-needed y --marginals needed, por ejemplo 

 gpg --completes-needed 1 --marginals-needed 3

Así que A no confía implícitamente en B, C, D en esta situación.

Qué pasa si

  • Un conjunto completo se necesita para 1 y los marginales se necesitan para 3 y luego Confía explícitamente en B
  • Entonces, signos B (confía implícitamente) C, D y E
  • Por último, aparecen F y G
  • C, D y E confían implícitamente en F, pero no en G.

En este punto, A confía implícitamente en F porque C, D y E son marginales en este caso.

Por último, cuando confía explícitamente en alguien, puede elegir el nivel en el que lo hace editando la clave del usuario 

 gpg --edit-key B

Luego emitir el comando de confianza 

 trust

Recibirá un aviso sobre el nivel de confianza que tiene para esa persona.

Los niveles de confianza, etc., se explican en el manual

enlace

    
respondido por el grepNstepN 20.11.2014 - 17:59
fuente

Lea otras preguntas en las etiquetas

Rastreando al remitente del correo electrónico SOLAMENTE ¿El inicio de sesión automático de subprocesos desde la implementación de correo electrónico es una experiencia de usuario segura / buena?