GPG ¿Por qué mi clave de confianza no está certificada con una firma de confianza?

Navega tus respuestas
5

Cuando corro 

gpg --verify ~/file.asc ~/file

Recibo lo siguiente: 

gpg: Signature made Tue 10 Dec 2016 05:10:10 AM EST using RSA key ID abcdefgh
gpg: Good signature from "Alias (signing key) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: (a fingerprint)
     Subkey fingerprint: (a fingerprint)

La huella digital principal coincide con la salida de gpg --fingerprints En mi llavero tengo: 

pub   4096R/abcdefgh 2014-12-12 [expires: 2020-08-02]
      Key fingerprint = (A public finger print)
uid                  Alias (signing key) <[email protected]>
sub   4096R/xcdertyu 2014-12-11 [expires: 2017-08-11]

Quería verificar la autenticidad de un archivo con la huella digital de la clave pública. Tenga en cuenta que el nivel de confianza es el nivel 4 (confianza total)

Creo esto porque: 

:~$ gpg --edit-key abcdefgh
gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


pub  4096R/abcdefgh  created: 2014-12-12  expires: 2020-08-02  usage: C   
                     trust: full          validity: unknown

¿Debería haber un motivo de preocupación? ¡Gracias por su paciencia mientras aprendo más sobre crypto!

    
pregunta Rice 06.01.2017 - 05:39
fuente

1 respuesta

7

La clave debe ser verificada. Si confía en que la clave pública de alguien pertenece a esa persona y está en su conjunto de claves, puede usar su clave privada para firmar la clave pública de su corresponsal y validarla.

Así que eres Bob y confías en que la clave pública de Alice sí pertenece a Alice, así que la firmas con tu clave privada. Así que la clave de Alicia es de confianza para ti. También cualquier clave en la que Alicia confíe, diga que alguien llamado Chris también estará en su red de confianza. Así que también puedes confiar en Chris, porque Alice lo hace. Así que la clave de Chris será certificada con una firma de confianza.

Ahora, si Alice confía en que tu clave te pertenece, entonces ella puede validar tu clave pública firmándola con su clave privada, por lo tanto, tu clave ahora se incluirá en esa misma red de confianza.

  

se dio un procedimiento para validar las claves públicas de sus corresponsales: la clave de un corresponsal se valida al verificar personalmente su clave   huella digital y luego firmar su clave pública con su clave privada. Por   Comprobando personalmente la huella digital puede estar seguro de que la clave   Realmente le pertenece, y desde que firmó su clave, puede   Asegúrese de detectar cualquier manipulación en el futuro. Desafortunadamente,   este procedimiento es incómodo cuando debe validar un número grande   de claves o comunicarse con personas que no conoce personalmente.

     

GnuPG resuelve este problema con un mecanismo conocido popularmente como   web de confianza. En la web del modelo de confianza, la responsabilidad de validar.   Las claves públicas se delegan a personas de confianza. Por ejemplo, supongamos

     

Alice ha firmado la clave de Blake, y

     

Blake ha firmado la clave de Chloe y la clave de Dharma.

     

Si Alice confía en Blake para que valide correctamente las claves que firma, entonces   Alice puede inferir que las claves de Chloe y Dharma son válidas sin   Tener que revisarlos personalmente. Ella simplemente usa su copia validada de   Clave pública de Blake para verificar que las firmas de Blake en Chloe's y   Los dharma son buenos. En general, suponiendo que Alice confíe plenamente.   todos para validar correctamente las claves que firman, luego cualquier clave firmada por   una clave válida también se considera válida. La raíz es la llave de Alicia, que   Se asume axiomáticamente como válido.   Confía en el propietario de una llave

     

En la práctica, la confianza es subjetiva. Por ejemplo, la clave de Blake es válida para   Alice desde que lo firmó, pero puede que no confíe en Blake para que lo haga.   Validar las claves que firma. En ese caso, ella no tomaría las de Chloe.   y la clave de Dharma como válida basada solo en las firmas de Blake. La web   El modelo de confianza da cuenta de esto al asociarse con cada clave pública   en su llavero, una indicación de cuánto confía en el propietario de la clave.

     

Hay cuatro niveles de confianza .

     

desconocido

     

No se sabe nada sobre el juicio del propietario en la firma de claves.   Las claves en su anillo de claves públicas que usted no posee inicialmente tienen esto   nivel de confianza.

     

ninguno

     

Se sabe que el propietario firma incorrectamente otras claves.

     

marginal

     

El propietario entiende las implicaciones de la firma de claves y   valida correctamente las claves antes de firmarlas.

     

full

     

El propietario tiene una excelente comprensión de la firma de claves, y su   la firma en una clave sería tan buena como la tuya.

     

El nivel de confianza de una clave es algo que solo usted asigna a la clave, y   Se considera información privada. No está empaquetado con la llave.   cuando se exporta; Incluso se almacena por separado de sus llaveros   en una base de datos separada. El editor de claves GnuPG puede usarse para ajustar   su confianza en el propietario de una clave.

Lea más aquí

También eche un vistazo a este proveedor desde Server Fault

    
respondido por el TheJulyPlot 06.01.2017 - 09:42
fuente

Lea otras preguntas en las etiquetas

¿Debo firmar la clave PGP de un proyecto? Diferencias en el mecanismo de seguridad entre las API de Google y Amazon