¿Puedo usar un certificado digital X.509 de confianza para facilitar la expansión de mi web personal de confianza?
Para ser más específicos:
- ¿Puedo usar mi certificado X.509 para firmar mi clave maestra GnuPG personal?
- ¿Podrán los destinatarios usar los certificados de la AC para verificar que la clave pública sea realmente mía?
- ¿Cómo se compara esto con la web actual de métodos de expansión de confianza, como la parte de firma clave en lo que respecta a la confiabilidad y autenticidad de mi clave pública?
- ¿Esto brindaría suficiente seguridad para que alguien que no me conoce personalmente firme mi clave maestra?
Al investigar este tema, encontré esta página sobre la política de firma de claves :
Firmando claves PGP con certificados X.509
Si bien un certificado de una CA no es una base real para confiar en una clave PGP, puede servir como un sustituto razonable cuando no hay otras opciones disponibles.
¿Por qué una firma de una autoridad de certificación nacional no hace que una clave publicada sea confiable?
Mi país implementa una infraestructura de clave pública en torno a PKCS # 7 y X.509 . Su proceso es el siguiente:
- Las CA cumplen con los requisitos criptográficos y obtienen sus claves firmadas por el gobierno.
- Los usuarios pagan una tarifa para verificar su identidad y obtener un certificado digital emitido por la CA.
- Los certificados se emiten con mayor frecuencia como tarjetas inteligentes y permiten firmas digitales legalmente vinculantes.
Me parece que la CA es equivalente a una persona en la red de confianza cuyas firmas pueden ser completamente , según el documentación de GnuPG :
El propietario tiene una excelente comprensión de la firma de la clave, y su firma en una clave sería tan buena como la suya.
Si mi clave puede ser firmada por un certificado de este tipo, ¿cómo puede un destinatario de mi clave pública no estar seguro de que sea mío, dado que mi CA ha sido verificada de forma personal y bastante exhaustiva?
Preguntas relacionadas con la seguridad de la información.SE que encontré:
-
¿Certificación cruzada entre mundos como X.509 y PGP?
Los sistemas de confianza de OpenPGP (web of trust) y X.509 (jerárquico) no son compatibles, ni las firmas
-
¿Es típico crear pares de claves tanto x509 como OpenPGP?
Un certificado X.509 o una clave pública OpenPGP firmada (el mismo concepto)
Parece que hay mucha información conflictiva en muchos lugares diferentes. Si una clave pública firmada de OpenPGP o GnuPG es lo mismo que un certificado X.509, ¿cómo pueden ser incompatibles las firmas? Además, los sistemas de confianza parecen ser análogos entre sí, a excepción de la cantidad de burocracia involucrada.