PGP está diseñado para usar una "web de confianza" para autenticar claves públicas. No hay una autoridad central (como una CA) para PGP, por lo que necesita que otras personas firmen su clave.
Para validar una clave, comparas cuánto confías en las personas que ya lo han firmado y cuánto confías en ellos. Si solo ve una firma y no es de nadie que conozca, entonces tal vez no debería confiar mucho en ella. Pero si está firmado por cinco personas, y uno de los firmantes es su jefe, probablemente confiaría un poco.
Web de confianza: firma
La firma de claves es importante para PGP, pero es difícil de entender al principio.
Cuando usted firma una clave, considera dos factores: ¿qué tan bien sé que usted es quien dice ser y cuánto confío en usted para que revise a otras personas antes de firmar sus claves?
Si fueras mi mejor amigo, te atestiguaría que eres, sin duda, Martin. Pero no te conozco, así que hoy no firmaría tu llave. Ahora, digamos que nos conocimos en una conferencia, y usted me pidió que firmara su clave. Primero te pediría que me mostraras tu licencia de conducir. Firmaría su clave entonces, con un nivel que coincida con mi confianza de que su licencia no fue falsificada.
Pero todavía no te conozco como persona. No sé si eres un tipo responsable o no, por lo que no confiaría en tu capacidad de tener cuidado al revisar a otras personas. Pero mi mejor amigo es una persona muy cuidadosa, y también confiaría en él para que revise a otras personas con mucho cuidado antes de firmar sus llaves. Así que firmaría la clave de mi amigo y daría fe de que mi nivel de confianza en él es muy alto.
Web of trust - using
Así que ahora tienes una clave pública de alguien. ¿Cómo confías en que en realidad es su clave? Miras las firmas. Miras quién atestigua la autenticidad de esta persona. ¿Son esos firmantes personas de confianza? ¿Son gente famosa? ¿Son simplemente extraños al azar? ¿Los firmantes depositaron mucha confianza en la clave, o simplemente un reconocimiento de que la firmaron? Si los firmantes son personas de confianza, rápidamente lo aceptarás. Pero la gente al azar? Tal vez usted puede confiar en si lo han firmado suficientes. Y ahí es donde establece su umbral de confianza. Confiarás en una llave que firmó tu mejor amigo. Confiarás en una clave que tu mejor amigo dijo que estaba firmada por un buen tipo, pero tal vez no una en la que tu amigo dijo "No lo conozco bien". De lo contrario, tal vez opte por confiar en él si tiene 10 o más firmas aleatorias.
En última instancia, hay un "conjunto sólido" de unos 50,000 firmantes en los que confían personas de todo el mundo. Si dos o tres de ellos han firmado una clave, es una buena indicación de que también debe confiar en ella. Las personas de ese grupo son quienes realmente quieren que firmen sus claves para que los miembros del público confíen en las suyas.
Organizations
Así que ahora tiene algunas personas en su organización que desea confiar con las claves públicas de PGP. ¿Cómo se confían sus claves? Primero, haz que firmen las llaves del otro. Luego, consígalos firmados por otros. Muchos otros Publique las claves públicas de esos empleados en la página "contáctenos" de su sitio web oficial. Lo que desea es establecer muchas conexiones en la red de confianza para que muchas personas, algunas de las cuales son respetadas y dignas de confianza, hayan atestiguado que estos empleados son quienes usted dice que son.