В качестве меры противодействия подмене ключа пользователя как одной из социальных атак и для удобства запоминания отпечатка ключа он окрашивается в два цвета, используя цветовую модель RGB. От значения отпечатка берутся последние 12 знаков, первые 6 из которых определяют цвет левой части, а вторые 6 — второй части. Например, для отпечатка 6BBF A6A8 2488 F017 4211 0AA5 FAEB 26F7 8443 620A цвет левого фона — 26F784, а правого — 43620A. Так как цвет запомниается проще, чем набор цифр, его отображение рядом с каждым сообщением участника даёт возможность остальным участникам запомнить его цвета и заметить подмену ключа в случае таковой. Запоминание цветов, ассоциированных с отпечатком ключа, не является гарантией отсутствия подмены, но усложняет осуществление указанной атаки. Более подробно вопрос о цветах отпечатков был освящён в работе spinore'а "Цветовая PGP-идентификация в социальных средах".

В качестве меры противодействия подмене ключа пользователя как одной из социальных атак и для удобства запоминания отпечатка ключа он окрашивается в два цвета, используя цветовую модель RGB. От значения отпечатка берутся последние 12 знаков, первые 6 из которых определяют цвет левой части, а вторые 6 — второй части. Например, для отпечатка 6BBF A6A8 2488 F017 4211 0AA5 FAEB 26F7 8443 620A цвет левого фона — FAEB26, а правого — F78443. Так как цвет запомниается проще, чем набор цифр, его отображение рядом с каждым сообщением участника даёт возможность остальным участникам запомнить его цвета и заметить подмену ключа в случае таковой. Запоминание цветов, ассоциированных с отпечатком ключа, не является гарантией отсутствия подмены, но усложняет осуществление указанной атаки. Более подробно вопрос о цветах отпечатков был освящён в работе spinore'а "Цветовая PGP-идентификация в социальных средах".

В качестве меры противодействия подмене ключа пользователя как одной из социальных атак для удобства запоминания информации об отпечатке ключа она отображается на два цвета, используя модель RGB. Последние 6 цифр в отпечатке дают цвет фона отпечатка справа, а символы с 12-го по 7-ой справа – цвет фона отпечатка слева. Например, для отпечатка 6BBF A6A8 2488 F017 4211 0AA5 FAEB 26F7 8443 620A цвет левого фона – FAEB26, а правого – F78443. Так как цвет запомниается проще, чем набор цифр, его вывод рядом с каждым постом участника даёт возможность остальным участникам запомнить его цвета и увидеть подмену ключа в случае таковой. Запоминание цветов, проассоциированных с отпечатком ключа, не является гарантией отсутствия подмены, но усложняет осуществление указанной атаки. Более подробно вопрос о цветах отпечатков был освящён в теме "цветовая PGP-идентификация в социальных средах".

Что означает цветной фон отпечатка ключа?

В качестве меры противодействия подмене ключа пользователя как одной из социальных атак для удобства запоминания информации об отпечатке ключа она отображается на два цвета, используя модель RGB. Последние 6 цифр в отпечатке дают цвет фона отпечатка справа, а символы с 12-го по 7-ой справа – цвет фона отпечатка слева. Например, для отпечатка
6BBF A6A8 2488 F017 4211 0AA5 FAEB 26F7 8443 620A
цвет левого фона – FAEB26, а правого – F78443.
Так как цвет запомниается проще, чем набор цифр, его вывод рядом с каждым постом участника даёт возможность остальным участникам запомнить его цвета и увидеть подмену ключа в случае таковой. Запоминание цветов, проассоциированных с отпечатком ключа, не является гарантией отсутствия подмены, но усложняет осуществление указанной атаки. Более подробно вопрос о цветах отпечатков был освящён в теме "цветовая PGP-идентификация в социальных средах".

||!!(зел)**верная ЭЦП**!!|Электронная подпись верна, сообщение не было изменено или искажено. Здесь же отмечено время, когда сообщение было подписано (обратите внимание, что если время подписания на много часов или дней отстает от времени опубликования — это повод для подозрений).||
||!!**неверная ЭЦП**!!|Сообщение было изменено после подписания. Это не обязательно свидетельствует о подделке (возможно, текст был поврежден при публикации на сайте, например, если автор выбрал неправильную кодировку). Однако может означать и то, что кто-то взломал базу данных сайта и попытался скорректировать сообщение там.||
||!!(сер)**неопределенная ЭЦП**!!|Система может проверять достоверность подписей лишь в том случае, если в ее базе данных имеются ключи, которыми подписи были поставлены, т.е. те ключи, которые зарегистрированные пользователи сайта загрузили в свои профили. Поэтому, если текст подписывает незарегистрированный посетитель, система лишь сообщит здесь ID ключа, которым была поставлена подпись, а ее состояние все заинтересованные должны будут проверить вручную.||
||!!**поврежденная ЭЦП**!!|Системе не удается сверить цифровую подпись (вероятнее всего, в базе данных отсутствует подписанный экземпляр текста). Это сообщение наименее вероятно и более всего подозрительно, поскольку свидетельствует о каких-то изменениях, внесенных в содержимое базы данных сайта. Имейте в виду: система проводит предварительную проверку подписи еще на этапе сохранения текста, поэтому изначальное размещение сообщений с поврежденными ЭЦП невозможно.||
||!!(син)**отображаемый текст не соответствует подписанному**!!|В некоторых случаях может выводиться дополнительное предупреждение, что отображаемый текст не соответствует подписанному. Это означает, что исходный текст был изменен, однако на сайте осталась оригинальная подписанная копия (с которой и происходит сверка ЭЦП), которую можно открыть, нажав на индикатор состояния ЭЦП. (Обычно, подобная ситуация возникает с комментариями пользователей: если модератор отредактирует сообщение (или это сделает сам автор, забыв затем переподписать текст), система предупредит о расхождении. С редакциями страниц такого не должно случаться, поскольку они не изменяются, а замещаются одна другой.)||
||!!(син)**текст подписан ключом пользователя //Икс//**!!|Это сообщение выводится для верной ЭЦП. Оно означает, что один пользователь заверил текст ключом другого. Это не следует расценивать как непременную компрометацию ключа пользователя //Икс// (хотя это и возможно); вот другие вероятные причины: 1) автор зарегистрирован на сайте под двумя именами и сам подписал текст не тем ключом (по ошибке или намеренно); 2) если это комментарий, то он мог быть переподписан модератором (в этом случае ((/Проект/Группы убедитесь)), что у пользователя //Икс// есть модераторские полномочия; 3) если опубликованная заметка в вики или комментарий были подписаны неавторизованным пользователем (с помощью постороннего ключа), то автором данной заметки/комментария действительно мог быть владелец данного ключа, который просто не пожелал авторизоваться на сайте; 4) один пользователь мог скопировать подписанный текст другого и повторно отправить на сайт, пытаясь выдать его за свой (чтобы не пасть жертвой такого обмана, обращайте внимание на метку времени подписания текста и его опубликования: большие интервалы подозрительны).||

||**текст подписан ключом пользователя //Икс//**|Это сообщение выводится для верной ЭЦП. Оно означает, что один пользователь заверил текст ключом другого. Это не следует расценивать как непременную компрометацию ключа пользователя //Икс// (хотя это и возможно); вот другие вероятные причины: 1) автор зарегистрирован на сайте под двумя именами и сам подписал текст не тем ключом (по ошибке или намеренно); 2) если это комментарий, то он мог быть переподписан модератором (в этом случае ((/Проект/Группы убедитесь)), что у пользователя //Икс// есть модераторские полномочия; 3) если опубликованная заметка в вики или комментарий были подписаны неавторизованным пользователем (с помощью какого-то ключа), то автором данной заметки/коментария действительно мог быть владелец приватного ключа, который просто не пожелал авторизоваться на сайте; 4) один пользователь мог скопировать подписанный текст другого и повторно отправить на сайт, пытаясь выдать его за свой (чтобы не пасть жертвой такого обмана, обращайте внимание на метку времени подписания текста и его опубликования: большие интервалы подозрительны).||

||**текст подписан ключом пользователя //Икс//**|Это сообщение выводится для верной ЭЦП. Оно означает, что один пользователь заверил текст ключом другого. Это не следует расценивать как непременную компрометацию ключа пользователя //Икс// (хотя это и возможно); вот другие вероятные причины: 1) автор зарегистрирован на сайте под двумя именами и сам подписал текст не тем ключом (по ошибке или намеренно); 2) если это комментарий, то он мог быть переподписан модератором (в этом случае ((/Проект/Группы убедитесь)), что у пользователя //Икс// есть модераторские полномочия; 3) если текст подписан незарегистрированным гостем, то его автором действительно мог быть владелец ключа, который просто не пожелал авторизоваться на сайте; 4) один пользователь мог скопировать подписанный текст другого и повторно отправить на сайт, пытаясь выдать его за свой (чтобы не пасть жертвой такого обмана, обращайте внимание на метку времени подписания текста и его опубликования: большие интервалы подозрительны).||

||**текст подписан ключом пользователя //Икс//**|Это сообщение выводится для верной ЭЦП. Оно означает, что один пользователь заверил текст ключом другого. Это не следует расценивать как непременную компрометацию ключа пользователя //Икс// (хотя это и возможно); вот другие вероятные причины: 1) автор зарегистрирован на сайте под двумя именами и сам подписал текст не тем ключом (по ошибке или намеренно); 2) если это комментарий, то он мог быть переподписан модератором (в этом случае ((/Проект/Группы убедитесь)), что у пользователя //Икс// есть модераторские полномочия; 3) если текст подписан незарегистрированным гостем, то его автором действительно мог быть владелец ключа, который просто не пожелал авторизоваться на сайте; 4) один пользователь мог скопировать подписанный текст другого и повторно отправить на сайт, пытаясь выдать его за свой (чтобы не пасть жертвой такого обмана, обращайте внимание на метку времени подписания текст и его опубликования: большие интервалы подозрительны).||

Как подписать и разместить

Windows/PGP/GnuPG с графической оболочкой

Windows/GnuPG без графической оболочки

Linux/*BSD/GnuPG

Установите системную локаль в кодировку CP1251, KOI8-R или UTF-8. Подпишите текст "непрозрачной" подписью, выполнив команду gpg -a -u <ключ_подписания> -s (конструкция команды может отличаться, но главное условие — использование параметра -s; также для упрощения операции можете воспользоваться готовыми скриптами, предложенными mellon'ом). Подписанный блок вставьте в поле ввода на странице сайта и перед отправкой укажите кодировку, соответствующую вашей системной.

Индикатор состояния

После опубликования на сайте такой заверенный текст будет выделен специальным индикатором, отображающим состояние подписи (вы можете видеть его вверху этой страницы), а также некоторую дополнительную информацию (кроме того, индикатор несет еще одну функцию, о которой будет рассказано в следующем параграфе). Вот различные возможные состояния:
||**верная ЭЦП**|Электронная подпись верна, сообщение не было изменено или искажено. Здесь же отмечено время, когда сообщение было подписано (обратите внимание, что если время подписания на много часов или дней отстает от времени опубликования — это повод для подозрений).||
||**отображаемый текст не соответствует подписанному**|В некоторых случаях может выводиться дополнительное предупреждение, что отображаемый текст не соответствует подписанному. Это означает, что исходный текст был изменен, однако на сайте осталась оригинальная подписанная копия (с которой и происходит сверка ЭЦП), которую можно открыть, нажав на индикатор состояния ЭЦП. (Обычно, подобная ситуация возникает с комментариями пользователей: если модератор отредактирует сообщение (или это сделает сам автор, забыв затем переподписать текст), система предупредит о расхождении. С редакциями страниц такого не должно случаться, поскольку они не изменяются, а замещаются одна другой.)||
||**текст подписан ключом пользователя //Икс//**|Это сообщение выводится для верной ЭЦП. Оно означает, что один пользователь заверил текст ключом другого. Это не следует расценивать как непременную компрометацию ключа пользователя //Икс// (хотя это и возможно); вот другие вероятные причины: 1) автор зарегистрирован на сайте под двумя именами и сам подписал текст не тем ключом (по ошибке или намеренно); 2) если это комментарий, то он мог быть переподписан модератором (в этом случае ((/Проект/Группы убедитесь)), что у пользователя //Икс// есть модераторские полномочия; 3) если текст подписан незарегистрированным гостем, то его автором действительно мог быть владелец ключа, который просто не пожелал авторизоваться на сайте.||

Независимая проверка

А что, если...

...я захочу открыть подписанный текст в предпросмотре?

Вы увидите его вместе со всеми заголовками PGP и материалом подписи. Подпись сличается только в момент сохранения текста, на этом же этапе срезаются все заголовки (оригинал подписи сохраняется отдельно) и остается чистый текст. В общем, если вы хотите "предпросмотреть" свое сообщение, желательно делать это перед тем, как подписать его.

...помимо подписанного текста отправить через форму какой-то дополнительный текст (за пределами ЭЦП)?

Подписанные сообщения сохраняются в базе данных в двух экземплярах: в виде оригинала с цифровой подписью (этот экземпляр уже не может быть отредактирован и изменен) и в виде чистого текста, который и отображается на страницах сайта. Так вот, подобный дополнительный неподписанный текст будет сохранен в первом экземпляре, но на страницы сайта никогда не попадет, поскольку не покрыт подписью.