Пример

Но веди PGP используют. Так как проверить подлинность через PGP?

[moderator]
Нижеследующая инструкция содержит ложные выводы. Следование ей способно скомпрометировать вашу безопасность.
[/moderator]

Для PGP это делается так. Применительно к GPG, так как у самого нет PGP, но можно посмотреть.
1) Идем на официальный сайт ключей симантика https://keyserver.pgp.com/vkd/GetWelcomeScreen.event
2) Ищем ключ филла циммерманна по ID prz@mit.edu или почте prz@mit.edu
3) Скачиваем этот ключ
4) Импортирруем на связку
5) Открываем его через консоль
6) gpg.exe --homedir="?" --list-sigs
7) видим что на нем много подписей, значит он подлинный

pub 1024D/B2D7795E 2001-01-04 sig R B2D7795E 2001-01-04 Philip R. Zimmermann <prz@mit.edu> uid Philip R. Zimmermann <prz@mit.edu> rev 6EE93242 2002-12-10 [User ID not found] sig CF73EC4C 2001-01-06 [User ID not found] sig F414952B 2001-01-07 [User ID not found] sig N B2D7795E 2007-03-02 Philip R. Zimmermann <prz@mit.edu> sig CA57AD7C 2015-02-22 [User ID not found] uid Philip R. Zimmermann <prz@acm.org> sig CF73EC4C 2001-01-06 [User ID not found] sig F414952B 2001-01-07 [User ID not found] sig N B2D7795E 2007-03-02 Philip R. Zimmermann <prz@mit.edu> sig CA57AD7C 2015-02-22 [User ID not found] uid [jpeg image of size 3457] sig N B2D7795E 2007-03-02 Philip R. Zimmermann <prz@mit.edu> uid Philip R. Zimmermann <prz@philzimmermann.com> sig N B2D7795E 2007-03-02 Philip R. Zimmermann <prz@mit.edu> sig CA57AD7C 2015-02-22 [User ID not found] sub 3072g/A8E92834 2001-01-04 sig B2D7795E 2001-01-04 Philip R. Zimmermann <prz@mit.edu>

к примеру sig sig CF73EC4C все на том же https://keyserver.pgp.com/vkd/GetWelcomeScreen.event
находим этого пользователя Will ну и так далее по всем подписям.

ОБРАТИ ВНИМАНИЕ на подпись CA57AD7C PGP Global Directory Verification Key. Эта подпись говорит о том что компания
семантик подписала ключ филла циммермана, говоря о том что семантик подтверждает подлинность ключа филла циммерманна и полностью доверяемт его ключу.
А ТАКЖЕ то что филл циммерман подписал ключ CA57AD7C PGP Global Directory Verification Key компании семантик, он утверждает его подлинность и полностью ему доверяет.

СКЛАДЫВАЯ ВСЕ СЕМЬ ПУНКТОВ, мы делаем вывод что ключ филла циммерманна на сервере ключей семантика ПОЛНОСТЬЮ подлинный и ему можно ПОЛНОСТЬЮ доверять.

Никогда так не делайте. Сгенерировать ключ с любым UID — не проблема, сгенерировать кучу других ключей и подписать ими первый — не проблема.


Ничего подобного. Это подпись автоматической валидации почтового адреса и ничего более. Никакой проверки, принадлежит ли этот ключ и email тому человеку, имя которого указано в UID, не проводится.

Гость написал какой-то феерический бред, не читайте его.

А можно по подробнее про

подпись CA57AD7C PGP Global Directory Verification Key

У многих на открытых ключах ее вижу, не могу понять откуда она берется? И для чего она вообше нужна?
Кто ее добавляет, компания семантик?

При загрузке ключа на keyserver.pgp.com, он высылает запросы на все указанные на ключе email-адреса. При подтверждении такого запроса сервер автоматически подписывает данный UID. Причём подтверждение запроса не требует доказательства владения закрытой частью ключа. То есть с криптографической точки зрения эта подпись вообще ни о чём не говорит, т.к. подтвердить такой запрос может кто угодно, имеющий доступ к почтовому ящику или каналу связи, а даже не только владелец ключа.

При загрузке ключа на keyserver.pgp.com, он высылает запросы на все указанные на ключе email-адреса. При подтверждении такого запроса сервер автоматически подписывает данный UID. Причём подтверждение запроса не требует доказательства владения закрытой частью ключа. То есть с криптографической точки зрения эта подпись вообще ни о чём не говорит, т.к. подтвердить такой запрос может кто угодно, имеющий доступ к почтовому ящику или каналу связи, а даже не только владелец ключа.

А для чего компании семантик необходимо проверять емайлы указанные в UIDах ?
Что это дает? Или ничего не дает? Как интерпретировать эту информацию?
И почему у многих на ключах сразу по несколько десятков этих CA57AD7C PGP Global Directory Verification Key

Компания Саймантик заверяет своим ключом, что кто-то умеет перехватывать почту владельца и слать ей подставные ответы.

Они позиционировали эту фичу как возможность дать владельцу ключа некоторый контроль по загрузке ключа на сервер (загрузка также требует подтверждения) и его удалению.


Принимайте её в том духе, что владелец ключа с некоторой вероятностью имеет доступ к указанному в UID почтовому ящику.


Раньше это подтверждение выдавалось на ограниченный срок (то ли 3, то ли 6 месяцев) и по его окончании сервер повторно пинговал почтовые ящики и продлевал свою подпись. Для продления подписи требуется сгенерировать новую с новым сроком действия, из-за чего пакеты подписей аккумулировались в нездоровом количестве. Видимо, по данной причине эту порочную практику свернули.

Лолда.

Раньше это подтверждение выдавалось на ограниченный срок (то ли 3, то ли 6 месяцев) и по его окончании сервер повторно пинговал почтовые ящики и продлевал свою подпись. Для продления подписи требуется сгенерировать новую с новым сроком действия, из-за чего пакеты подписей аккумулировались в нездоровом количестве. Видимо, по данной причине эту порочную практику свернули.

А у филла циммерманна аж 2014 годом CA57AD7C PGP Global Directory Verification Key датирован и начиная кажись с 2003 что ли

Значит, не свернули (где вроде бы проскакивала такая информация).

https://keyserver.pgp.com/vkd/.....ificationPGPCom.html

[moderator]
Оверквотинг, исправлена ссылка. Автору напоминаю о правилах сайта, в другой раз пост будет просто удалён.
[/moderator]

Вы имели в виду сразу на главной странице https://keyserver.pgp.com/vkd/GetWelcomeScreen.event внизу

https://keyserver.pgp.com/vkd/.....ificationPGPCom.html + https://keyserver.pgp.com/vkd/.....gningKey.event?rep=4 ???

Да, оно самое

Предлагают ознакомится и загрузить их CA57AD7C PGP Global Directory Verification Key