Виртуальная Key Signing Party
Я недавно использую PGP, и использую преимущественно для переписки с несколькими друзьями и коллегами которые очень (даже может быть слишком) ценят свою приватность. Но сама идея с подписанными ключами и децентрализованной сетью доверия показалась мне очень интересной.
Мне хотелось бы иметь "сильный" ключ, подписанный большим количеством активных пользователей PGP, чтобы в будущем если кто-то захочет написать мне защищенный е-мейл или выслать зашифрованный файл и получит мой ключ с серверов ключей – чтобы у него не возникало сомнений в подлинности ключа.
К сожалению, я в ближайшее время врядли попаду на какую-нибудь Signing Party в реальности и по этому предлагаю провести такую "встречу" в виртуальности.
Проверить личность друг дуга можем каким-нибудь из следующих способов:
1) Подтвержденный PayPal аккаунт. (перевести доллар с последующим возвратом)
2) На основе WebMoney-сертификата.
3) или оба эти способа сразу.
4) предлагайте другие варианты.
Что думаете?
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Короткий вывод — виртуальным путём можно подписать виртуальную идентичность. С соответствующим виртуальным доверием. Достаточно просто попросить владельца такого ключа, представляющего не реального человека, а псевдоним или организацию, подписать любую присланную вами случайную строку. Если он соглашается и все подписи сходятся — то вы его заверяете. Не заботясь о том, кто он на самом деле есть, ведь вы заверяете виртуала, псевдонима и т.п.
Правда там не рассмотрена ситуация, что он может после этого повесить на свой ключ UID реального человека и как тогда быть? Ведь для заверения ключей реальных лиц такой метод не подходит.
С сертификатами и аккаунтами такая же ситуация. Это заверение виртуала, который на момент подписания (его ключа вашим) контролирует: данный ключ, e-mail, сертификат, аккаунт, домен и т.д.
Но это не сеть доверия в традиционном смысле, как связь виртуальных идентичностей с реальными.
Хотя, опять же, как указано в ссылке и такое использование сети возможно, если подписывается ключ: заведомо анонимный (псевдонимный), представляющий виртуальную роль (лэйбл, марку, организацию) — разработчик ПО, владелец домена, и т.д. (хоть модератор форума).
комментариев: 1060 документов: 16 редакций: 32
В OpenPGP всё-таки UID-ы подписываются, и если некто добавит ещё один, то на нем подписи не будет. Проблема в таком случае заключается в правильной программной обработке этого случая в интерфейсах и понимании этого пользователями.
Хорошо бы, конечно, иметь возможность частичного заверения данных: имя отдельно, email-ы отдельно, телефон отдельно... Но такого пока нет.
комментариев: 9796 документов: 488 редакций: 5664
Также нужен простой однобитовый ответ: "верю/не верю данной идентичности (UID'у)" или с градациями степени доверия. Но не так, чтобы это вычислялось по частям: "имейлу верю, в имени сомневаюсь, телефон не знаю".
комментариев: 11558 документов: 1036 редакций: 4118
Возвращаясь к вопросу TS, полагаться на установления личности, выполненные третьими лицами, при заверении чужих ключей в общем случае не следует. По крайней мере, при подписании ключа надо использовать опцию --ask-cert-level и явным образом указать, что проверка не была доскональной.