id: Гость   вход   регистрация
текущее время 16:18 13/12/2019
Автор темы: Terfendail, тема открыта 15/03/2007 13:56 Печать
https://www.pgpru.com/Форум/РаботаСGnuPG/ИмпортКлючаБезСамоподписи
создать
просмотр
ссылки

Импорт ключа без самоподписи


Возможен ли в GPG сабж?
К примеру, при импорте ключа 0x4C92D93D я получил следующий результат:

У ключа действительно нет самоподписи, однако импортировать его все-таки хотелось бы.


 
Комментарии
— SATtva (15/03/2007 15:45)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Используйте при импорте ключа параметр --allow-non-selfsigned-uid. Учтите, это потенциальная уязвимость.
— Terfendail (15/03/2007 16:37)   профиль/связь   <#>
комментариев: 9   документов: 2   редакций: 0
А в чем конкретно заключается уязвимость? Каковы сценарии её реализации?
Сохраняется ли уязвимость при условии наличия на ключе подписей известных мне лиц?
— SATtva (15/03/2007 19:59)   профиль/связь   <#>
комментариев: 11543   документов: 1036   редакций: 4092
Ну, если нет автоподписи, то каждый желающий может насовать на сертификат ключа любые записи — имена, адреса (пароли, явки)...

Сохраняется ли уязвимость при условии наличия на ключе подписей известных мне лиц?

Эти подписи подтвердят, что подписанные записи сертификата связаны с открытым ключом, но где подтверждение самого владельца закрытого ключа, что он эти записи санкционировал? Может Ваших знакомых тоже ввели в заблуждение и они по ошибке заверили записи, которые сам владелец ключа не добавлял?
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3