Sé que en los llaveros PGP locales, hay una idea de confianza: confío en esta clave en última instancia, esta clave es menor que eso, etc.
¿Es esta web de confianza exportable? Por ejemplo, si confío en [email protected] y ellos confían en [email protected], ¿puedo importar su web de confianza?
Alguien podría enviarte su trustdb, pero no estoy seguro de si puedes fusionarlos. (Solo he hecho una copia de seguridad de mi trustdb para no tener que restablecer los niveles de confianza en las claves en las que confío).
En cualquier caso, suena como si lo que buscas es la transitividad: si confías en A y A confía en B, confías en B. Eso existe, pero solo en un nivel.
Cuando marca que confía en una clave, indica cuánto confía en esa clave para verificar otras claves. (Por lo general, cuánto confía en el propietario de esa clave para realizar certificaciones sobre la legitimidad de otras claves). La El manual de privacidad de GNU describe el modelo de confianza de OpenPGP y cómo confiar en una clave le permite determinar la validez de las claves en su anillo de claves. En la parte inferior, hay un gráfico y un ejemplo que son particularmente útiles. Tenga en cuenta que Alice confía en un puñado de claves, y luego esa confianza se utiliza para determinar la validez de las claves firmadas por ellas.
Entonces, en su ejemplo original, si confía (totalmente) en [email protected] y ellos han firmado la clave para [email protected], entonces el modelo de confianza de pgp considera [email protected] a clave válida , pero no utiliza firmas hechas por esa clave para ningún cálculo de validez. (A menos que, por supuesto, usted también haya confiado en esa clave).
Tenga en cuenta que la confianza marginal requiere 2 rutas de confianza a una clave para considerarla válida: esto es útil para las personas que no son extremadamente cuidadosas con las claves que firman, o incluso si usted es simplemente paranoico y quiere 2 fuentes de verdad.
Se requieren dos tipos de confianza: la confianza en la autenticidad de los demás (llamada firma en OpenPGP) y la confianza en un tipo de "capacidad de garantía", por lo que si confía en las firmas que otra persona emitió (llamado confianza en OpenPGP).
Un ejemplo simple puede aclarar estas categorías: hay algunas personas de cierta autoridad en el mundo del software libre, considere Linus Torvalds, Richard Stallman o el "inventor" de PGP Phil Zimmermann. Es muy probable que nunca los hayas conocido para firmar claves, pero aún así puedes confiar en sus firmas: lees sus cualidades, sus objetivos. Si confía en sus claves ( gpg --edit-key [key-id] , entonces trust ), todavía no se ha ganado nada. Cualquiera pudo haber subido una llave con su nombre. Pero si puede crear algún tipo de firma y cadena de confianza para uno de ellos, podrá verificar todas las claves que firmaron. Tal vez alguna vez firmó con un desarrollador de Debian que se reunió con Torvalds para intercambiar claves.
Firmas son públicas. Por lo general, se hace referencia a ellos si alguien está hablando sobre el (OpenPGP) Web of Trust . Puede descargar todas las firmas (conocidas públicamente) en una clave determinada usando gpg --recv-keys [key-id] desde algún servidor de claves, o incluso recuperar un volcado de servidor de claves completo (en 2014, aproximadamente 6 GB). keysigning.org enumera algunos de los espejos.
La confianza se mantiene localmente y no se comparte en servidores clave. En quien confías es mucho más sensible. Firmar a alguien puede ocurrir con cualquier persona que conoció en una conferencia o en cualquier lugar, no necesariamente revela su red social. La confianza lo haría, y un amigo tuyo podría criticar que no confiaras en él. Puede que te guste, pero ¿está haciendo un buen trabajo para verificar las identificaciones?
Lea otras preguntas en las etiquetas pgp