¿Qué está diciendo cuando firma una clave PGP?

OpenPGP no define ninguna regla para certificaciones

De RFC 4880 , Tipos de firmas:

  

[...] Por favor      tenga en cuenta que la vaguedad de estos significados no es un defecto, sino un      Característica del sistema. Porque OpenPGP coloca la autoridad final para      validez en el receptor de una firma, puede ser que uno      El acto casual del firmante podría ser más riguroso que otro      acto positivo de la autoridad [...]

Mejores prácticas informales

Sin embargo, hay una especie de mejores prácticas informales. Al publicar una certificación de nivel de confianza informal o indefinido ( sig o sig2 , tipos de firma 0x10 y 0x12 ) declara estar seguro de la identidad del firmante . Esto podría haber ocurrido al verificar documentos oficiales o al conocer a alguien muy bien. A menudo, las personas envían un correo cifrado que contiene la firma como adjunto para verificar la propiedad de la dirección de correo .

Las certificaciones de nivel de confianza positivo ( sig3 , tipo 0x13 ) generalmente afirman cierta certeza avanzada del firmante en lo que esta haciendo Esto puede deberse a un conocimiento prolongado de la persona firmada o a una alta confianza en los documentos conocidos presentados (por ejemplo, los pasaportes de su propio país).

Políticas de certificación

Como no hay reglas generales y forzadas para las certificaciones, algunas personas publican políticas de certificación , que dicen seguir. A menudo solo representan la mejor práctica informal, pero pueden ayudar a otros a justificar sus declaraciones de certificación.

Estos a menudo contienen información sobre cómo verifica las claves, qué documentos necesita, cómo maneja las variaciones en los nombres de los firmantes y posiblemente más. A menudo, son documentos firmados y referenciados en cada certificación emitida opción cert-policy-url de GnuPG .

Se supone que debes hacer ambas cosas. Se le da la opción de firmar solo los UID específicos o todos los UID, y solo debe firmar los UID por los que puede responder. Por ejemplo, si trabajas en Example Inc y Bob tiene "[email protected]" y "[email protected]", solo debes firmar su [email protected] UID.

Una firma PGP establece lo siguiente

1. Estoy confirmando que esta clave pertenece a Bob
2. Estoy confirmando que este ID de correo electrónico que figura en su certificado pertenece a Bob

En realidad, pocas personas hacen el # 2, y la mayoría solo firma todos los UID sin verificar.

Las personas que participan en PGP deben tener una Declaración de Prácticas de Certificación (CPS), pero esto no es tan común como debería ser Por ejemplo,

• enlace
• enlace

Estas políticas generalmente tienen un denominador común de reunión con la persona, validando su ID emitida por el gobierno para que coincida con el nombre con el que se presentan y asegurando que la persona tenga control sobre la dirección de correo electrónico en cuestión.

Me gusta la formalidad de un CPS, especialmente cuando se trata de políticas relacionadas con la firma de claves de alias o claves de organización.

El CPS indicará cuándo y por qué una autoridad firmará una clave o certificado. enlace

Para dividir los pelos, puede firmar la clave de cualquier persona por cualquier motivo. Si publica la firma, debe tener un CPS y debe firmar digitalmente el CPS. Si alguien pregunta por qué firmó la clave de alguien, puede señalarla.