Как начать
Скажите пожалуйста, как начать удостоверять чужие ключи?
С чего начать? У кого заручится поддержкой? Как попасть в прочный набор ?
Это реально? Или это делается только через огромную взятку?
Ссылки
[link1] https://www.pgpru.com/forum/offtopik/vstrechidljapodpisikljuchejjkeysigningpartiesvsng
[link2] https://www.pgpru.com/biblioteka/statji/whytheweboftrustsucks
[link3] http://services.fms.gov.ru/info-service.htm?sid=2000
[link4] https://ru.wikipedia.org/wiki/S/MIME
[link5] https://www.pgpru.com/biblioteka/pravo/obecp
Вы так об этом пишете, как будто хотите на этом деньги зарабатывать. Если действительно хотите, то напрасно.
А если серьезно, то как?
Серьёзно что? Зарабатывать на подписи ключей или получить подпись от ключа из прочного набора? Если второе, то, очевидно, списаться с владельцем ключа из прочного набора и попросить его заверить Ваш ключ.
А реально получить на свой ключ подпись Филла Циммерманна или Брюса Шнейера?
Что для этого надо сделать? Они удостоверяют или нет? Где можно это от них узнать,
или почитать как они это делают? Они берут взятки в сколькх баксах зелени? Они продаются?
Конечно имеется в виду второе
В этом мире все имеет свою цену, и даже Филл и Шнеер имеют ее,
только вот скрывают. Цену набивают. Пытался подкупить, заартачились.
Я бы не рассчитывал — у этих людей слишком мало свободного времени, чтобы тратить его на такую ерунду. У Циммермана, в принципе, можете попросить подписать ключ, если встретитесь с ним на какой-нибудь конференции; у Шнайера — точно не вариант.
Уровень вопросов наводит на мысль о детском саде.
А если с ним списаться по емаелу, неужели изверг человек не ответит?
Он что в поднебесной живет, что ли?
А кто в таком случае подписывал самих Циммермана И Шнейра, кто за них поручился, компания семантик?
У Шнайера стоит автоотписка от глупых вопросов. Он не читает сотни тысяч писем, которые ему кто-попало отправляет.
Напомнило ещё одну неинтересную тему[link1].
Можно попробовать списаться с тем из них, кто подписал их ключи, только предварительно
убедиться что это реальный человек. Вот олько как, типа спросить "Филл циммерман вы подтверждаете что тот кто подписал ваш ключ ВАМ знаком?"
Допустим, ответит. А подтверждать ключ он, по-Вашему, тоже по мэйлу будет? Тогда Вы чего-то всерьёз не понимаете в протоколе заверения.
Таки детский сад.
Он не обязан помнить, если например кого-то ему представили на конференции или была большая key-signing party с подписями по водительским правам. Эти подписи не продаются из-за низкого спроса, но и недорого стоят в плане доверия.
Просто шикарно, а в росси значи не проводятся встречи заверителей ключей, надо ехать за границу?
Судя по этому https://www.pgpru.com/forum/of.....eysigningpartiesvsng[link1]
надо ехать за границу
Проводятся, опять же, как правило, в рамках всяческих техноконференций. Следите за событиями.
А подскажите каким запросом гуглить, какие слова упоминать в запросе
Проявите смекалку, импровизируйте. Я верю, у Вас всё получится.
Добрый Саттва, нет бы натолкнуть, издевается
Можно так
получим вот это http://sysadmin.tomsk.com/index.php?topic=3356.0 + это
Что то абсолютно нет сессий, интернет молчит
Они не нужны[link2].
А можно так: pgp|gpg key signing party (включить "Только на русском"). Тогда получим дофига всегда, причём гораздо более актуального.
А каким образом можно проверить подлинность удостоверяющего документа?
Гугл: признаки подлинности паспорта.
А разве одних только признаков достаточно?
В предельном случае — нет: вдруг у человека паспорт на другое имя, сделанный по всем правилам на официальном бланке? Но Ваш вопрос, вроде, был не об этом.
Есть сомнения — требуйте дополнительные удостоверения личности и иные документы и свидетельства, способные её подтвердить. Стандарт OpenPGP этот вопрос никак не регламентирует. В то же время, при создании сертифицирующей подписи есть возможность указать глубину проверки, так что не обязательно создавать т.н. persona certification signature (максимальная степень подтверждения), если не уверены в личности человека на 100%. Например, можно выдавать такие подписи только тем людям, с которыми давно знакомы лично.
А если случай предельный?
тоесть указать для подписываемого ключа степень trust как marginal ?
Нет. Когда будете в --edit-key выполнять команду sign, программа предложит указать степень проверки личности владельца ключа:
Кстати, я в предыдущем посте перепутал persona certification с positive certification. Persona certification — это как раз отсутствие проверки.
А ведь еще можно указать tsign, или не стоит ?
А что тогда делать в таком случае, как проверять?
Не используйте tsign. При подписании ключа такой подписью он становится мета-поручителем (в терминологии PGP), т.е. все подписанные им ключи автоматически получают полное доверие и, следовательно, подписанные ими ключи будут для Вас достоверны. Эта команда имеет смысл только в корпоративной среде для создания УЦ-подобной инфраструктуры.
А если имеет место случай, когда бланк паспорта оригинальный, а на нем левые данные плюс левая фотография, или комбинация этих вариантов.
Как тогда проверить удостоверяющий документ?
Например, так[link3]. Если есть знакомства в ФМС/МВД/детективных бюро, попросите пробить данные.
Можно и на персоналках. Допустим, главный секретный ключ связки хранится отдельно и оффлайново, где-то под другим юзером и т.д., тогда им неудобно подписывать ключи, которые вы для себя аутентифицировали, посредством lsign (подпись не экспортируется, поэтому надо будет каждый раз копировать всю связкy pubring.gpg целиком). Можно, конечно, делать обычные подписи (импортируя на ту связку с секретным главным ключом нужный ключ, подписывая, потом экспортируя обратно), но тогда есть риск, что однажды вы дадите кому-то подписанный ключ, и это порушит анонимность (у нас нет желания раскрывать даже то, какие именно ключи присутствуют на связке, а их подпись вообще сделает связь для всех прослеживаемой). Тут как раз может немного помочь такой ключ мета-поручителя. Мы его подписываем через tsign своим ключом, а потом ключом мета-поручителя подписываем чужие ключи на кейринге через lsign. Теоретически это может заработать...
Очень интересная тема. У меня тоже возникло несколько вопросов.
1) А разве собственно ФМС/МВД/ официально не предоставляют некую услугу по проверке подлинности удостоверяющих документов? Или только через них, можно только по
2) А возможно ли использование некоего официального государственного посредника между мной и тем, кто обратился ко мне для подписания его ключа. Тоесть он обращается к
посреднику, предоставляет ему свои удостоверяющие документы, тот удостоверяет его и его личность, выдает ему некую удостоверяющую бумагу за своей печатью и подписью.
Далее он обращается ко мне и предостовляет эту удостоверяющую бумагу, я соответственно с этой бумагой обращаюсь к этому посреднику или его информационному ресурсу, на
котором могу найти информацию об этой бумаге, тоесь что он действительно ее выдал. И пологаю, что этому посреднику я доверяю, так как это посредник материально
ответственнен своим материальным ресурсом (деньгами,собственностью и тд)
3) А в чем собственно различие между Positive certification и Casual certification? С первым понятно, при личной встрече. А вот как быть со вторым? Небрежно это как?
4) Стоит ли требовать от желающего ксерокоопию его удостоверяющих документов, законно ли такое требование, или он может послать на законных основаниях? Что может дать
5) Собственно сам процесс/ деятельность такого рода по заверению чужих ключей каким либо образом регламентируется законодательными актами на территории РФ?
и не какой ответственности я не понесу, даже если заверю липовый ключ, подумаеш, и на старуху бывает проруха!
Заверение ключей законом не регламентируется, по крайней мере пока это бесплатное и неофициальное занятие на уровне развлечений. Ключи может заверять кто угодно, этим потенциально подрывается только репутация заверяющего. Вообще, отчего такой интерес именно к заверению ключей? Пусть, к примеру, Денис Попов — известный программист, который подписывает своим ключом разные программы. Если вы доверяете его ключу, то когда он подпишет своим ключом ключ другого программиста — Васи Пупкина, то на основании подписи Дениса Попова можно будет с большей вероятность доверять и ключу Васи Пупкина. Но если Денис Попов для вас — не авторитет, то и его подписям на чужих ключах вы доверять не будете. А все эти паспортные проверки — это уже совсем утопия. Изначально было скорее расчитано на доверие, идущее от некоторой тусовки разработчиков или активистов, где многие известны и за её пределами, и знают друг друга внутри, и подделать отношения доверия между ними сложно. Подписи по типу нотариальных — это больше для центров сертификации и S/MIME[link4].
Не слышал о таком. За удостоверяющие документы не поручусь, но, например, документы об образовании посторонний проверить точно не сможет (разве что по косвенным признакам, анализируя сам бланк).
Ага, очень смешно.
Без должного уровня провреки. Расплывчато всё это, каждый сам для себя решает, что это значит. Может быть, в Web of trust есть какие-то рекомендации.
При наличии сообщников в банке например, повесить на вас кредит. Ещё можно на вас по интернету открыть счёт в платёжной системе и отмывать через него деньги за терроризм и наркоту.
Не путайте сеть доверия PGP с этим[link5].
Нет, только морально-репутационную.
Да.
Не занимайтесь переливанием из пустого в порожнее, есть конкрентые вопросы и должны быть конкретные ответы
Степень долженствования конкретности достаточна по мнению отвечающих.
Никак не регламентировано, и это фича. Пользователь может самостоятельно сформулировать свою политику сертификации, для её указания есть штатная опция --cert-policy-url (см. man gpg).
Пока читал про --cert-policy-url, наткнулся на это:
и подумал, как же много в OpenPGP было запихнуто архитектурно совершенно ненужного... PGP-кмбайн не настолько проще SSL-комбайна, как это можно было бы подумать.