¿Qué identifica una entidad en PGP?

Navega tus respuestas
1

Cuando una persona A firma una clave PGP cuyo uid es: "Max Anderson < [email protected] >", está asegurando que esta clave realmente pertenece a la persona cuyo nombre es Max Anderson y cuya la dirección de correo electrónico es [email protected], para que todas las demás personas que confían en A puedan asegurarse también de que esta clave realmente pertenece a Max Anderson.

Bueno, muy claro y sencillo hasta ahora.

Pero la pregunta es, ¿hay una sola persona en la tierra que se llama Max Anderson?

¡Hay muchos Max Anderson y todos son reales y auténticos y tienen claves firmadas en los servidores de llaves!

Entonces, al firmar la clave de uno de los Anderson con su nombre y correo electrónico, se asegura de que pertenezca a Max Anderson (si suponemos que la red de confianza es realmente confiable), pero ¿cómo puede distinguirse realmente a qué Anderson se refiere exactamente?

    
pregunta user173323 19.03.2018 - 11:36
fuente

1 respuesta

1

Esto es para lo que sirve la Web of Trust . No se supone que identifique a la persona basándose en el nombre (cualquiera puede elegir cualquier nombre), sino en la huella digital. La idea es que puede haber conocido, en persona, a alguien que ellos mismos han conocido, en persona, etc. Es como los seis grados de separación , pero usando la criptografía para establecer la confianza. Cuando las personas visitan personas que marcan claves , o simplemente se encuentran con alguien en un evento, a menudo firman las claves de esta persona para testificar que Confían en que realmente son quienes dicen ser. Después de todo, si te encuentras con alguien en persona y te dicen su huella digital, puedes estar mucho más seguro de que es legítimo que si obtienes la clave de un servidor de claves.

Con suerte, alguien en su red de confianza ha conocido y firmado una clave para alguien que, a través de cualquier nivel de indirección, ha conocido a Max Anderson, lo que lo lleva a confiar en él por poder. Este sitio web explica esto con más detalle. Sin embargo, tenga en cuenta que muchas personas no utilizan la web de confianza y, en su lugar, dependen completamente del director de TOFU , o Trust on First Utilizar. Esto proporciona una menor cantidad de protección, pero no requiere involucrarse en la red de confianza.

Entonces, ¿cómo se ve esto? Digamos que usted y yo nos reunimos en algún evento y firmamos las llaves del otro. Hace unos años, conocí a Alice en una fiesta de firma de llaves. Naturalmente, Alice también conoce a Bob. Bob solía trabajar para el jefe de Max Anderson, por lo que también está en la red de confianza. A través de esta web, aunque solo me conozcas a mí y no al jefe de Alice, Bob o Max Anderson, todavía sabes que la clave pública que tienes es propiedad del verdadero Max Anderson. Ahora, por supuesto, una verdadera red de confianza tiene enlaces redundantes (por lo tanto, web ), lo que le permite saber de manera más confiable que la clave pública que ve es la verdadera Max Anderson.

Aquí hay algunas otras preguntas y respuestas que pueden ser esclarecedoras:

respondido por el forest 19.03.2018 - 11:46
fuente

Lea otras preguntas en las etiquetas

Cargando una página iniciada en un iframe Una conexión segura con una aplicación y un servidor dedicado