¿Cuál es el significado de la salida --list-sigs de GnuPG?

8

gpg --list-sigs me da cosas como las siguientes (edité la salida solo para mostrar las filas interesantes / diferentes):

pub   2048R/4ACE309C 2016-11-01
uid                  lala_test2 <lala2@test.org>
sig 3        4ACE309C 2016-11-01  lala_test2 <lala2@test.org>
uid                  test_key <test_key@test.org>
sig 3        4ACE309C 2016-11-01  lala_test2 <lala2@test.org>
sub   2048R/EA9FDC87 2016-11-01
sig          4ACE309C 2016-11-01  lala_test2 <lala2@test.org>
sig 2        03A9DA1F 2014-02-11  [User ID not found]
sig 3        5B51CBCF 2011-10-25  [User ID not found]
sig 3        06B47049 2011-10-26  [User ID not found]
sig 3        00C85EF1 2011-10-31  [User ID not found]
sig 3        5A4BEDCE 2011-10-06  [User ID not found]
sig        1 F2648165 2011-10-07  [User ID not found]
sig       X  CA57AD7C 2005-07-31  [User ID not found]
sig       X  CA57AD7C 2005-08-01  [User ID not found]
sig 2     X  DC79FAC9 2003-09-26  [User ID not found]
sig          7EE2682F 2016-06-03  [User ID not found]
rev          7EE2682F 2016-06-03  [User ID not found]

Las etiquetas en la primera columna significa:

  • pub - > clave pública
  • uid - > ID de usuario
  • sig - > firma, de otra persona que dice que confía en la clave debajo de la etiqueta de pub
  • sub - > subclave
  • rev - > ¿Es esta una firma cuya clave fue revocada por el firmante?

2048R - > 2048 es el tamaño de clave y R para RSA. También está la ID de clave corta, la fecha de creación y la última es la ID de usuario cuando está disponible.

¿Qué significan los números en una fila sig después de la primera columna?

    
pregunta Lilás 01.11.2016 - 19:33
fuente

2 respuestas

10

Niveles de certificación

Hay diferentes clases de certificaciones. Cotizando RFC 4880, OpenPGP, 5.2.1. Tipos de firma :

[...]

0x10: Generic certification of a User ID and Public-Key packet.
   The issuer of this certification does not make any particular
   assertion as to how well the certifier has checked that the owner
   of the key is in fact the person described by the User ID.

0x11: Persona certification of a User ID and Public-Key packet.
   The issuer of this certification has not done any verification of
   the claim that the owner of this key is the User ID specified.

0x12: Casual certification of a User ID and Public-Key packet.
   The issuer of this certification has done some casual
   verification of the claim of identity.

0x13: Positive certification of a User ID and Public-Key packet.
   The issuer of this certification has done substantial
   verification of the claim of identity.

Most OpenPGP implementations make their "key signatures" as 0x10
certifications.  Some implementations can issue 0x11-0x13
certifications, but few differentiate between the types.

[...]

GnuPG muestra las firmas 0x10 "normales" como sig y las firmas avanzadas que distinguen entre diferentes tipos de niveles de certificación con un número siguiente: 0x11 como sig 1 , 0x12 como sig 2 y 0x13 como sig 3 . rev indica firmas revocadas.

La salida de --list-sigs también se explica en las páginas de manual de GnuPG ( man gpg ):

--list-sigs
    Same as --list-keys, but the signatures are listed too.  This command has the
    same effect as using --list-keys with --with-sig-list.

    For  each  signature listed, there are several flags in between the "sig" tag
    and keyid. These flags give additional information about each signature. From
    left  to  right,  they  are  the numbers 1-3 for certificate check level (see
    --ask-cert-level), "L" for a local or non-exportable signature (see  --lsign-
    key), "R" for a nonRevocable signature (see the --edit-key command "nrsign"),
    "P" for a signature that contains a policy URL (see  --cert-policy-url),  "N"
    for  a  signature  that contains a notation (see --cert-notation), "X" for an
    eXpired signature (see --ask-cert-expire), and the numbers 1-9 or "T" for  10
    and  above  to  indicate  trust  signature levels (see the --edit-key command
    "tsign").

Vaguedad

También tenga en cuenta el primer párrafo de la sección de especificaciones, que indica que no existe una definición general y rígida de los niveles de certificación:

  

Hay varios significados posibles para una firma, que son      indicado en un octeto de tipo de firma en cualquier firma dada. Por favor      tenga en cuenta que la vaguedad de estos significados no es un defecto, sino un      Característica del sistema. Porque OpenPGP coloca la autoridad final para      validez en el receptor de una firma, puede ser que uno      El acto casual del firmante podría ser más riguroso que otro      acto positivo de la autoridad [...]

Debido a esto, algunas personas publican políticas de certificación. Proporcioné un poco de discusión en ¿Qué está diciendo cuando firma una clave PGP?

    
respondido por el Jens Erat 01.11.2016 - 20:12
fuente
5

Intentando aclarar algunos de los detalles de la publicación de Jens Erat en lenguaje humano: " " => 0x00 Generic certification: does not make any particular ownership assertion "1" => 0x11 Persona certification: has not done any ownership verification "2" => 0x12 Casual certification: has done some identity verification "3" => 0x13 Positive certification: has done substantial identity verification

Y otra vez por legibilidad: "L" for a Local or non-exportable signature (see --lsign- key) "R" for a non-Revocable signature (see --edit-key command "nrsign") "P" for a signature that contains a Policy URL (see --cert-policy-url) "N" for a signature that contains a Notation (see --cert-notation) "X" for an eXpired signature (see --ask-cert-expire) "T" or [1-9] indicate trust signature levels (see --edit-key command "tsign")

    
respondido por el not2qubit 09.05.2017 - 17:13
fuente

Lea otras preguntas en las etiquetas