GPG buena firma pero Advertencia: firma no confiable

Navega tus respuestas
6

Tengo un problema con algunos de mis clientes que no pueden abrir archivos adjuntos de correo electrónico cuando firmo los mensajes. El error que reciben es algo así como (traducción gratuita):

  

Error: no se puede abrir. La firma digital no pudo ser validada.

La comprobación del mensaje enviado con gpg produce lo siguiente: 

gpg: Good signature from "John Doe <[email protected]>" 
gpg: WARNING: This key is not certified with a trusted signature! 
gpg: There is no indication that the signature belongs to the owner.

Me gustaría seguir firmando y eventualmente cifrar todas las comunicaciones que salen de mi oficina, pero necesito resolver el problema de los archivos adjuntos.

  • ¿Cómo voy a resolver esto? ¿Se trata de que el extremo receptor marque mi firma como de confianza? ¿Hay alguna forma de hacer esto que no implique una acción del receptor (servidor clave)?
pregunta margaritam 15.11.2013 - 15:48
fuente

2 respuestas

5

¿En quién confiar?

La firma se pudo verificar con éxito, lo que significa que realmente se firmó con la clave privada como se anunció. Esta clave reclama que pertenece a "John Doe".

Sin embargo, su configuración de GnuPG no confía en esta clave. Todo el mundo podría crear una clave para John Doe; todo lo que sabe es que alguien que creó una clave con el ID de usuario John Doe le envió este mensaje.

Verificación de la propiedad de la clave

Para estar seguro de si el remitente de este mensaje es realmente quien dice ser (John Doe), debe conocer su identificación clave (mejor huella digital completa) de otra manera confiable (no debe ser necesariamente seguro , ya que solo se transfiere información pública, concretamente su identificación de clave pública). Después de eso, descargue y firme su clave: 

gpg --recv-keys 0x12345678
gpg --sign 0x12345678

Todas las claves que haya firmado (y, por lo tanto, sus firmas) se verificarán en el futuro.

La web de confianza

También puedes hacer uso de la web de confianza. Al depositar la confianza en una clave, las firmas dadas por el propietario de esa clave también se considerarán al verificar la validez de una clave. Eche un vistazo a esta respuesta que explica la confianza, las claves válidas y la red de confianza más detalladamente: ¿Cuál es el significado exacto de este resultado de gpg con respecto a la confianza?

    
respondido por el Jens Erat 15.11.2013 - 16:32
fuente
2

Para abrir el mensaje, debe haber alguna forma de decirle a GPG que el mensaje proviene de alguien en quien confía. El simple hecho de tener la clave pública de una persona no es suficiente: la otra parte puede usar la clave pública para verificar los archivos si usted proporciona un archivo de firma por separado, pero GPG se negará a descifrar los archivos que no tengan una clave pública coincidente firmada por usted. , o alguien en quien confíes.

Así que ahí lo tienen: dígales a sus clientes que firmen su clave pública y que configuren la confianza de su clave pública en total o definitiva. Sin embargo, tenga en cuenta que, por favor, dígales que hagan esto después de verificar la validez de su copia de su clave pública, ya sea a través de una llamada telefónica en la que les indique el hash de la firma de su clave pública o en persona. Después de todo, los niveles de confianza se denominan "completo" y "último" por una razón.

    
respondido por el Nasrus 15.11.2013 - 16:34
fuente

Lea otras preguntas en las etiquetas

¿Existe algún peligro al exponer los hashes de git sha1 commit? Reduciendo la longitud de la contraseña con la función hash