claves PGP que varían solo en las firmas adjuntas

Navega tus respuestas
5

Aquí hay algunas preguntas que giran en torno al mismo problema central.

  1. Digamos que genero un par de llaves PGP.
  2. Ahora obtengo el par de llaves firmado por la persona A en la fiesta X.
  3. Por la noche, le doy mi clave pública ahora firmada a la persona B.
  4. El día siguiente recibo mi clave pública firmada por la persona C en la fiesta de firma Y.
  5. Por la noche, le doy mi clave pública ahora firmada a la persona D.
    • La persona B y la persona D ahora tienen mi clave pública, pero versiones diferentes (no sé si versión es la palabra correcta).
  6. Imagine que una persona E obtiene mi clave pública tanto de la persona B como de la persona D.

¿Cómo determina la persona E cuál usar?

Similarmente, podría comenzar haciendo dos copias de mi clave pública y luego firmarlas con dos grupos de personas mutuamente diferentes.

Nuevamente, ¿cómo puede el software PGP de una persona futura determinar cuál usar?

Me pregunto si puede fusionar automáticamente las firmas en una clave que contiene todo, si y solo si la lista de firmas adjuntas debe ser autofirmada por mi clave privada.

Finalmente, ¿las personas siguen cargando sus claves a los servidores de llaves a medida que son firmadas por más y más personas?

    
pregunta Einar 09.03.2014 - 15:37
fuente

1 respuesta

5

Una clave pública como la publicada en los servidores de claves en realidad consiste en un conjunto de paquetes individuales. Una es su clave pública, luego están los ID de usuario y las firmas entrantes de otras claves (y algunas otras cosas que no son importantes aquí).

  

¿Cómo determina la persona E cuál usar?   Nuevamente, ¿cómo el software PGP de la persona que viene más tarde determina cuál usar?

Como se indicó anteriormente, la clave es la misma, solo los paquetes de firmas son diferentes. Puede echar un vistazo a ellos usando gpg --listpackets [file] , también echar un vistazo a esta respuesta sobre cómo ver los archivos de claves OpenPGP . Recomiendo encarecidamente echar un vistazo a la salida bastante larga para entender lo que está pasando.

Al "actualizar" la clave ( gpg --recv-keys [key] ) de un servidor de claves, todos los paquetes nuevos se fusionarán con los que ya están en el disco. Las llaves no "ramifican" en ningún tipo. Imagina esto como se establece la unión de firmas. Esto también se puede hacer exportando e importando usando gpg --import [file] .

  

Finalmente, ¿la gente sigue subiendo las claves [ir] a los servidores de claves a medida que son firmadas por más y más personas?

Espero haber respondido correctamente a tu pregunta, y quieres saber si las personas suben su clave de vez en cuando para distribuir sus nuevas firmas usando gpg --send-keys [key] . Entonces, la respuesta es un claro "sí y no". La mayoría lo hace, mucho solo de vez en cuando, y algunos no.

    
respondido por el Jens Erat 09.03.2014 - 16:10
fuente

Lea otras preguntas en las etiquetas

Ransomware en máquinas virtuales. Ejecutando Locky para probar medidas de seguridad Cifrado de clave pública en lugar de contraseñas