прошу подписать PGP ключ
Прошу подписать мой PGP ключ (fingerprint: 34D0 1AAD F30E D8C6 B99F 4E4E C482 51EB 4F8E 4E6E).
Этот ключ будет использоваться для подписывания дистрибутивов DiskCryptor, и будет распостраняться в составе дистрибутива. К сожалению его легко подменить, если он никем не подписан.
Подписывая мой ключ, вы подтверждаете что мне принадлежит мыло ntldr@freed0m.org и Jabber аккаунт ntldr@gajim.org. Наличие всего нескольких подписей уже не позволит так просто подменять ключи в дистрибутиве и патчить его файлы.
Я готов подтвердить свое владение данным ключем и указаными контактами путем расшифровки посланого на них сообщения.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 371 документов: 19 редакций: 20
комментариев: 2 документов: 0 редакций: 0
А почему? Ведь здесь в uid нет имени/фамилии, только ник и e-mail – ntldr <ntldr@freed0m.org>. Значит, проверить можно только e-mail. Ну а для этого достаточно отправить туда зашифрованное сообщение и принять оттуда расшифрованное, подписанное. Разве не так?
комментариев: 11558 документов: 1036 редакций: 4118
Именно поэтому такой ключ в принципе не должен заверяться с каким-либо другим статусом. По крайней мере, такова моя политика, но другие опытные заверители наверняка со мной согласятся.
E-mail проверить несложно.
Вся информация проверена и достоверна. Кажется, можно подписать ключ. В чём же дело?
комментариев: 11558 документов: 1036 редакций: 4118
Ещё раз повторяю: это общая практика. Если кто-то хочет выдавать подписи на иных принципах — пожалуйста, никто за это не убьёт. Но недопонимание возникнет. И цениться эти подписи всё равно выше не станут.
Но ведь это же ник. Человек его сам выбирает. Выбрал, захотел назваться так – стал истинный и неподдельный. Да, не единственный, но ведь имя + фамилия тоже не уникальны. Кстати, SATtva, у Вас в ключе (помимо прочего) тоже указан ник – Vladislav V. Miller (aka SATtva). Документики имеются? :-)
Не принято подписывать ключи без реальных данных иначе как persona certification. Не принято... Ну ладно. Получается, тем, кто не хочет раскрывать свою личность, openPGP не удобен.
комментариев: 11558 документов: 1036 редакций: 4118
Думаю, комментировать цитату не требуется?
Почему же? Использовать стандарт им никто не запрещает, но сеть доверия едва ли подходит для них.
Обратимся к первоисточнику:
И там же:
То есть, как я уже говорил, нет ничего страшного в том, чтобы для рассматриваемого случая с ключом ntldr использовать, например, тип подписи 0x12. Но лично я этого сделать не могу, поскольку не считаю, что простое пингование почтового ящика ключом, опубликованного на каком-то (пусть и нашем) интернет-сайте без сверки отпечатка с владельцем может тянуть даже на звание "casual". По-моему, это и есть "The issuer of this certification has not done any verification of the claim that the owner of this key is the User ID specified".
комментариев: 11558 документов: 1036 редакций: 4118
Почему же? Следуя такой логике, Ваш ключ тоже можно подписывать только с типом persona certification – несмотря на то, что у Вас есть бумага, удостоверяющая, что Вы – Vladislav V. Miller, нельзя убедиться, что Вы – "истинный и неподдельный" SATtva. Ну а раз не вся информация из записи сертификата может быть проверена, подпись ставить не следует. В связи с этим предлагаю Вам отозвать свои неправильно подписанные ключи :-D
Кстати, случайно увидел, и в man gpg есть предписание использовать persona certification для псевдонимных пользователей:
Но ведь сеть доверия является одной из основ, без неё openPGP теряет много преимуществ (особенно для тех, кто остаётся псевдонимным и, соответственно, не может передать ключ из рук в руки).
Но ведь владелец ключа, согласно uid – тот, кому принадлежит ящик. Вы проверяете, это действительно так. Вся информация верна, вы её полностью проверили – можно поставить casual certification / positive certification подпись.
Просто хочется прояснить нюансы использования разных типов подписей, вот и всё.
Кстати, каков канонический смысл по стандарту у такой подписи? По умолчанию считается что есть ещё миллионы ключей подписи соответствие uid'ов которых владельцам я, к примеру, не сверял, но только какие-то ключи я подписываю как 0x11. Значит есть какое-то доверие?
Возможно, есть вот какой нюанс: ник/фио важнее чем почта. Почта может меняться. Вы общаетесь не с почтовыми ящиками а с адерсатом... Если не считать ящики никами пользователей, то поле email в ключе – не более чем информативное. Вот у меня, кстати, его просто нету :)
комментариев: 11558 документов: 1036 редакций: 4118
Когда создаётся новый UID, пользователю специально предлагают отдельно указать 1) имя, 2) мэйл-адрес, 3) комментарий. Именно поэтому никнэйм я вписывал в последнее поле, чтобы "такую логику" мне не приписывали.
Надеюсь, man gpg для Вас больший авторитет, чем я, и мы наконец прекратим эту бессмысленную дискуссию.
Я им очень сочувствую, но ничем не могу помочь. Чтобы получить сертифицирующую подпись высокого статуса, нужно передать ключ (или отпечаток) заверителю из рук в руки, при этом он должен убедиться, что имя на ключе — это Ваше имя, и мэйл-адрес — тоже Ваш. Здесь, как видите, три фактора. Не два и не один.
Фигушки. Информация может быть и верна, а вот ключ — аутентичен? Как я могу быть уверен (причём до такой степени, чтобы своей подтверждающей подписью поручиться за это!), что опубликованный здесь ключ — это ключ ntldr, а не товарища Мэллори, выдающего себя за ntldr? Я связывался с ntldr по надёжному каналу, чтобы сверить отпечаток ключа? Сессии заверителей ведь не просто так придумали, чтобы вместе собраться и пиво попить.