¿Qué está diciendo cuando firma una clave PGP?

12

Cuando firma una clave PGP / GPG, ¿qué le está diciendo exactamente a todos los que ven su firma? ¿Está validando la persona o la dirección de correo electrónico?

Para explicar lo que quiero decir, tome los siguientes dos ejemplos:

Validando a la persona: "Confío en que la clave 0x559E3EE8 pertenece a Bob en contabilidad; él personalmente me entregó un pedazo de papel con esa clave pública durante el almuerzo. No sé qué La dirección de correo electrónico de Bob es, pero si lo incluye como uno de sus UID en su clave, estoy bastante seguro de que le pertenece.

Validación de la dirección de correo electrónico (UID): "Confío en que la clave 0x559E3EE8 pertenece a [email protected] ; no sé quién es en la vida real, pero hemos enviado encriptado correos electrónicos de ida y vuelta, y definitivamente sé que él puede descifrar y leer los correos electrónicos que le envío, ya que a veces cita cosas que le escribí. También puedo estar muy seguro de que no hay ningún hombre en el medio entre mi computadora y su computadora. servidor de correo. "

    
pregunta IQAndreas 17.09.2014 - 16:26
fuente

3 respuestas

11

OpenPGP no define ninguna regla para certificaciones

De RFC 4880 , Tipos de firmas:

  

[...] Por favor      tenga en cuenta que la vaguedad de estos significados no es un defecto, sino un      Característica del sistema. Porque OpenPGP coloca la autoridad final para      validez en el receptor de una firma, puede ser que uno      El acto casual del firmante podría ser más riguroso que otro      acto positivo de la autoridad [...]

Mejores prácticas informales

Sin embargo, hay una especie de mejores prácticas informales. Al publicar una certificación de nivel de confianza informal o indefinido ( sig o sig2 , tipos de firma 0x10 y 0x12 ) declara estar seguro de la identidad del firmante . Esto podría haber ocurrido al verificar documentos oficiales o al conocer a alguien muy bien. A menudo, las personas envían un correo cifrado que contiene la firma como adjunto para verificar la propiedad de la dirección de correo .

Las certificaciones de nivel de confianza positivo ( sig3 , tipo 0x13 ) generalmente afirman cierta certeza avanzada del firmante en lo que esta haciendo Esto puede deberse a un conocimiento prolongado de la persona firmada o a una alta confianza en los documentos conocidos presentados (por ejemplo, los pasaportes de su propio país).

Políticas de certificación

Como no hay reglas generales y forzadas para las certificaciones, algunas personas publican políticas de certificación , que dicen seguir. A menudo solo representan la mejor práctica informal, pero pueden ayudar a otros a justificar sus declaraciones de certificación.

Estos a menudo contienen información sobre cómo verifica las claves, qué documentos necesita, cómo maneja las variaciones en los nombres de los firmantes y posiblemente más. A menudo, son documentos firmados y referenciados en cada certificación emitida opción cert-policy-url de GnuPG .

    
respondido por el Jens Erat 18.09.2014 - 10:56
fuente
6

Se supone que debes hacer ambas cosas. Se le da la opción de firmar solo los UID específicos o todos los UID, y solo debe firmar los UID por los que puede responder. Por ejemplo, si trabajas en Example Inc y Bob tiene "[email protected]" y "[email protected]", solo debes firmar su [email protected] UID.

Una firma PGP establece lo siguiente

  1. Estoy confirmando que esta clave pertenece a Bob
  2. Estoy confirmando que este ID de correo electrónico que figura en su certificado pertenece a Bob

En realidad, pocas personas hacen el # 2, y la mayoría solo firma todos los UID sin verificar.

    
respondido por el mricon 17.09.2014 - 16:39
fuente
5

Las personas que participan en PGP deben tener una Declaración de Prácticas de Certificación (CPS), pero esto no es tan común como debería ser Por ejemplo,

Estas políticas generalmente tienen un denominador común de reunión con la persona, validando su ID emitida por el gobierno para que coincida con el nombre con el que se presentan y asegurando que la persona tenga control sobre la dirección de correo electrónico en cuestión.

Me gusta la formalidad de un CPS, especialmente cuando se trata de políticas relacionadas con la firma de claves de alias o claves de organización.

El CPS indicará cuándo y por qué una autoridad firmará una clave o certificado. enlace

Para dividir los pelos, puede firmar la clave de cualquier persona por cualquier motivo. Si publica la firma, debe tener un CPS y debe firmar digitalmente el CPS. Si alguien pregunta por qué firmó la clave de alguien, puede señalarla.

    
respondido por el mgjk 17.09.2014 - 18:34
fuente

Lea otras preguntas en las etiquetas