id: Гость   вход   регистрация
текущее время 11:24 19/09/2020
Автор темы: ntldr, тема открыта 06/12/2007 17:45 Печать
Категории: разное
https://www.pgpru.com/Форум/Офф-топик/ПрошуПодписатьPGPКлюч
создать
просмотр
ссылки

прошу подписать PGP ключ


Прошу подписать мой PGP ключ (fingerprint: 34D0 1AAD F30E D8C6 B99F 4E4E C482 51EB 4F8E 4E6E).
Этот ключ будет использоваться для подписывания дистрибутивов DiskCryptor, и будет распостраняться в составе дистрибутива. К сожалению его легко подменить, если он никем не подписан.
Подписывая мой ключ, вы подтверждаете что мне принадлежит мыло ntldr@freed0m.org и Jabber аккаунт ntldr@gajim.org. Наличие всего нескольких подписей уже не позволит так просто подменять ключи в дистрибутиве и патчить его файлы.
Я готов подтвердить свое владение данным ключем и указаными контактами путем расшифровки посланого на них сообщения.


 
На страницу: 1, 2 След.
Комментарии
— SATtva (06/12/2007 18:42)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
Запросы на мэйл-адреса отправил. Но подписать могу только со статусом persona certification.
— Гость (06/12/2007 20:14)   <#>
Подписал
— ntldr (07/12/2007 20:09)   профиль/связь   <#>
комментариев: 371   документов: 19   редакций: 20
SATtva, я ответил на оба запроса.
— fzfx (31/03/2008 18:33)   профиль/связь   <#>
комментариев: 2   документов: 0   редакций: 0
если это ещё актуально – посылай на любое мыло, которое указано в открытом ключе моего профиля.
— Гость (07/11/2008 20:22)   <#>
Запросы на мэйл-адреса отправил. Но подписать могу только со статусом persona certification.

А почему? Ведь здесь в uid нет имени/фамилии, только ник и e-mail – ntldr <ntldr@freed0m.org>. Значит, проверить можно только e-mail. Ну а для этого достаточно отправить туда зашифрованное сообщение и принять оттуда расшифрованное, подписанное. Разве не так?
— SATtva (08/11/2008 14:53)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
А почему? Ведь здесь в uid нет имени/фамилии, только ник и e-mail – ntldr <ntldr@freed0m.org>.

Именно поэтому такой ключ в принципе не должен заверяться с каким-либо другим статусом. По крайней мере, такова моя политика, но другие опытные заверители наверняка со мной согласятся.
— Гость (08/11/2008 16:14)   <#>
Ник проверять не нужно – человек хочет зваться ntldr – зовётся так. Это теперь его ник. Всё.
E-mail проверить несложно.
Вся информация проверена и достоверна. Кажется, можно подписать ключ. В чём же дело?
— SATtva (08/11/2008 17:15)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
Дело не в ключе. Я господина ntldr в глаза не видел. А даже если бы мы встретились, он сумел бы доказать, что является этим самым ntldr? ДокУмент смог бы показать, в коем сказано: "Предъявитель сего есть ntldr истинный и неподдельный"?

Ещё раз повторяю: это общая практика. Если кто-то хочет выдавать подписи на иных принципах — пожалуйста, никто за это не убьёт. Но недопонимание возникнет. И цениться эти подписи всё равно выше не станут.
— Гость (08/11/2008 18:54)   <#>
Я господина ntldr в глаза не видел. А даже если бы мы встретились, он сумел бы доказать, что является этим самым ntldr? ДокУмент смог бы показать, в коем сказано: "Предъявитель сего есть ntldr истинный и неподдельный"?

Но ведь это же ник. Человек его сам выбирает. Выбрал, захотел назваться так – стал истинный и неподдельный. Да, не единственный, но ведь имя + фамилия тоже не уникальны. Кстати, SATtva, у Вас в ключе (помимо прочего) тоже указан ник – Vladislav V. Miller (aka SATtva). Документики имеются? :-)

Не принято подписывать ключи без реальных данных иначе как persona certification. Не принято... Ну ладно. Получается, тем, кто не хочет раскрывать свою личность, openPGP не удобен.
— SATtva (08/11/2008 21:26)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
Кстати, SATtva, у Вас в ключе (помимо прочего) тоже указан ник

Думаю, комментировать цитату не требуется?

Получается, тем, кто не хочет раскрывать свою личность, openPGP не удобен.

Почему же? Использовать стандарт им никто не запрещает, но сеть доверия едва ли подходит для них.

Обратимся к первоисточнику:



И там же:



То есть, как я уже говорил, нет ничего страшного в том, чтобы для рассматриваемого случая с ключом ntldr использовать, например, тип подписи 0x12. Но лично я этого сделать не могу, поскольку не считаю, что простое пингование почтового ящика ключом, опубликованного на каком-то (пусть и нашем) интернет-сайте без сверки отпечатка с владельцем может тянуть даже на звание "casual". По-моему, это и есть "The issuer of this certification has not done any verification of the claim that the owner of this key is the User ID specified".
— SATtva (08/11/2008 21:32, исправлен 08/11/2008 21:33)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
И вообще не понимаю, чего Вы привязались к типу изданной мной подписи? :-) Цель-то достигнута и с "persona cert" — ключ ntldr (если это его ключ) никто не подменит и не подделает. Что ещё нужно?
— Гость (09/11/2008 00:20)   <#>
Думаю, комментировать цитату не требуется?

Почему же? Следуя такой логике, Ваш ключ тоже можно подписывать только с типом persona certification – несмотря на то, что у Вас есть бумага, удостоверяющая, что Вы – Vladislav V. Miller, нельзя убедиться, что Вы – "истинный и неподдельный" SATtva. Ну а раз не вся информация из записи сертификата может быть проверена, подпись ставить не следует. В связи с этим предлагаю Вам отозвать свои неправильно подписанные ключи :-D

Кстати, случайно увидел, и в man gpg есть предписание использовать persona certification для псевдонимных пользователей:


Использовать стандарт им никто не запрещает, но сеть доверия едва ли подходит для них.

Но ведь сеть доверия является одной из основ, без неё openPGP теряет много преимуществ (особенно для тех, кто остаётся псевдонимным и, соответственно, не может передать ключ из рук в руки).

То есть, как я уже говорил, нет ничего страшного в том, чтобы для рассматриваемого случая с ключом ntldr использовать, например, тип подписи 0x12. Но лично я этого сделать не могу, поскольку не считаю, что простое пингование почтового ящика ключом, опубликованного на каком-то (пусть и нашем) интернет-сайте без сверки отпечатка с владельцем может тянуть даже на звание "casual". По-моему, это и есть "The issuer of this certification has not done any verification of the claim that the owner of this key is the User ID specified".

Но ведь владелец ключа, согласно uid – тот, кому принадлежит ящик. Вы проверяете, это действительно так. Вся информация верна, вы её полностью проверили – можно поставить casual certification / positive certification подпись.

И вообще не понимаю, чего Вы привязались к типу изданной мной подписи? :-) Цель-то достигнута и с "persona cert" — ключ ntldr (если это его ключ) никто не подменит и не подделает. Что ещё нужно?

Просто хочется прояснить нюансы использования разных типов подписей, вот и всё.
— Гость (09/11/2008 00:42, исправлен 09/11/2008 01:03)   <#>


Кстати, каков канонический смысл по стандарту у такой подписи? По умолчанию считается что есть ещё миллионы ключей подписи соответствие uid'ов которых владельцам я, к примеру, не сверял, но только какие-то ключи я подписываю как 0x11. Значит есть какое-то доверие?
— Гость (09/11/2008 00:53)   <#>
Но ведь владелец ключа, согласно uid – тот, кому принадлежит ящик. Вы проверяете, это действительно так.

Возможно, есть вот какой нюанс: ник/фио важнее чем почта. Почта может меняться. Вы общаетесь не с почтовыми ящиками а с адерсатом... Если не считать ящики никами пользователей, то поле email в ключе – не более чем информативное. Вот у меня, кстати, его просто нету :)
— SATtva (09/11/2008 01:00)   профиль/связь   <#>
комментариев: 11552   документов: 1036   редакций: 4094
Почему же? Следуя такой логике ...

Когда создаётся новый UID, пользователю специально предлагают отдельно указать 1) имя, 2) мэйл-адрес, 3) комментарий. Именно поэтому никнэйм я вписывал в последнее поле, чтобы "такую логику" мне не приписывали.

Кстати, случайно увидел, и в man gpg есть предписание использовать persona certification для псевдонимных пользователей

Надеюсь, man gpg для Вас больший авторитет, чем я, и мы наконец прекратим эту бессмысленную дискуссию.

Но ведь сеть доверия является одной из основ, без неё openPGP теряет много преимуществ (особенно для тех, кто остаётся псевдонимным и, соответственно, не может передать ключ из рук в руки).

Я им очень сочувствую, но ничем не могу помочь. Чтобы получить сертифицирующую подпись высокого статуса, нужно передать ключ (или отпечаток) заверителю из рук в руки, при этом он должен убедиться, что имя на ключе — это Ваше имя, и мэйл-адрес — тоже Ваш. Здесь, как видите, три фактора. Не два и не один.

Вся информация верна, вы её полностью проверили – можно поставить casual certification / positive certification подпись.

Фигушки. Информация может быть и верна, а вот ключ — аутентичен? Как я могу быть уверен (причём до такой степени, чтобы своей подтверждающей подписью поручиться за это!), что опубликованный здесь ключ — это ключ ntldr, а не товарища Мэллори, выдающего себя за ntldr? Я связывался с ntldr по надёжному каналу, чтобы сверить отпечаток ключа? Сессии заверителей ведь не просто так придумали, чтобы вместе собраться и пиво попить.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3