Confianza de clave GPG después de una parte firmante

7

Es posible que no esté entendiendo bien el concepto de web-of-trust, pero imagínese el siguiente escenario: genero mi clave, luego voy a una parte de firma de claves y, después, importo todas las claves que he verificado. y firmar esos. Ahora, esto hará que todas esas claves sean completamente válidas , pero la confianza predeterminada para cada clave seguirá siendo la predeterminada, es decir, "desconocido". Lo que significa que si ahora importo una nueva clave, incluso si esta nueva clave tiene suficientes (*) firmas de esas, aún no se considerará válida, porque ninguna de esas claves es confiable.

Lo que significa que para que las partes firmantes de claves tengan alguna utilidad, debemos establecer la confianza de esas claves en al menos marginalmente confiable. ¿Derecha? ¿O estoy cometiendo algún error en algún lugar de mi razonamiento?

(*): en el modelo de seguridad predeterminado de GPG, es decir, una firma de una clave totalmente confiable o 3 de claves de confianza marginal.

    
pregunta wmnorth 23.02.2014 - 17:46
fuente

2 respuestas

7

Una forma (ligeramente) simplificada de pensarlo es:

1) Usted firma la clave de alguien para decir "Afirmo que esta clave pertenece a la persona identificada".

2) Asigna confianza a la clave de alguien para decir "Creo que esta persona es lo suficientemente responsable como para hacer bien el número 1".

# 1 es una declaración pública de usted (su clave) al mundo. # 2 es una nota privada en tu propia configuración de GPG.

Los dos no necesariamente van juntos. Si cree que alguien hace firmas terribles (por ejemplo, no verifica lo suficiente antes de firmar), entonces aún puede firmar su clave (después de todo, no está haciendo una declaración sobre su confiabilidad, solo en cuanto a su identidad). pero probablemente no querrás asignar confianza a su clave. En otras palabras, usted cree que su clave les pertenece, pero no "confía" en ellos para hacer buenas firmas en las claves de otras personas.

En una fiesta de firma de claves, es bastante común poder firmar la clave de alguien (usted verifica alguna identificación, verifica que su dirección de correo electrónico funciona a través de una cookie, etc.), pero no tiene idea si vale la pena confiar en esa persona. firmar la llave de otra persona Después de todo, en muchos casos, nunca los has visto antes.

    
respondido por el David Shaw 26.02.2014 - 20:41
fuente
4

Bueno, sí y no. La validez de la clave no debe subestimarse: todas las personas cuya clave firmó ahora son totalmente válidas en su conjunto de claves y puede comunicarse con ellas utilizando esta confianza directa. Sin embargo, si desea poder utilizar la web real de confianza, entonces sí, deberá asignar la confianza del propietario a todas o algunas de esas claves. Sin ese paso, la parte "web" de la "web de confianza" realmente no funciona. Comience con una confianza de propietario marginal y asigne plena confianza a aquellas personas que usted sabe que harán un buen trabajo verificando la identidad de alguien antes de firmar las claves .

    
respondido por el mricon 24.02.2014 - 05:37
fuente

Lea otras preguntas en las etiquetas