id: Гость   вход   регистрация
текущее время 14:01 28/03/2024
Автор темы: Гость, тема открыта 02/03/2015 15:20 Печать
Категории: криптография
создать
просмотр
ссылки

Как начать


Скажите пожалуйста, как начать удостоверять чужие ключи?
С чего начать? У кого заручится поддержкой? Как попасть в прочный набор ?
Это реально? Или это делается только через огромную взятку?



 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (03/03/2015 16:09)   <#>
В предельном случае — нет: вдруг у человека паспорт на другое имя, сделанный по всем правилам на официальном бланк

А если случай предельный?


А что тогда делать в таком случае, как проверять?
— SATtva (03/03/2015 16:11)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Не используйте tsign. При подписании ключа такой подписью он становится мета-поручителем (в терминологии PGP), т.е. все подписанные им ключи автоматически получают полное доверие и, следовательно, подписанные ими ключи будут для Вас достоверны. Эта команда имеет смысл только в корпоративной среде для создания УЦ-подобной инфраструктуры.
— Гость (04/03/2015 08:21)   <#>
А если имеет место случай, когда бланк паспорта оригинальный, а на нем левые данные плюс левая фотография, или комбинация этих вариантов.
Как тогда проверить удостоверяющий документ?
— SATtva (04/03/2015 17:58)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Например, так. Если есть знакомства в ФМС/МВД/детективных бюро, попросите пробить данные.
— Гость (07/03/2015 15:16)   <#>

Можно и на персоналках. Допустим, главный секретный ключ связки хранится отдельно и оффлайново, где-то под другим юзером и т.д., тогда им неудобно подписывать ключи, которые вы для себя аутентифицировали, посредством lsign (подпись не экспортируется, поэтому надо будет каждый раз копировать всю связкy pubring.gpg целиком). Можно, конечно, делать обычные подписи (импортируя на ту связку с секретным главным ключом нужный ключ, подписывая, потом экспортируя обратно), но тогда есть риск, что однажды вы дадите кому-то подписанный ключ, и это порушит анонимность (у нас нет желания раскрывать даже то, какие именно ключи присутствуют на связке, а их подпись вообще сделает связь для всех прослеживаемой). Тут как раз может немного помочь такой ключ мета-поручителя. Мы его подписываем через tsign своим ключом, а потом ключом мета-поручителя подписываем чужие ключи на кейринге через lsign. Теоретически это может заработать...
— Гость (10/03/2015 14:15)   <#>
Очень интересная тема. У меня тоже возникло несколько вопросов.

Например, wwwтак. Если есть знакомства в ФМС/МВД/детективных бюро, попросите пробить данные.


1) А разве собственно ФМС/МВД/ официально не предоставляют некую услугу по проверке подлинности удостоверяющих документов? Или только через них, можно только по
блату/связям?


2) А возможно ли использование некоего официального государственного посредника между мной и тем, кто обратился ко мне для подписания его ключа. Тоесть он обращается к
официальному государственному
посреднику, предоставляет ему свои удостоверяющие документы, тот удостоверяет его и его личность, выдает ему некую удостоверяющую бумагу за своей печатью и подписью.
Далее он обращается ко мне и предостовляет эту удостоверяющую бумагу, я соответственно с этой бумагой обращаюсь к этому посреднику или его информационному ресурсу, на
котором могу найти информацию об этой бумаге, тоесь что он действительно ее выдал. И пологаю, что этому посреднику я доверяю, так как это посредник материально
ответственнен своим материальным ресурсом (деньгами,собственностью и тд)



3) А в чем собственно различие между Positive certification и Casual certification? С первым понятно, при личной встрече. А вот как быть со вторым? Небрежно это как?



4) Стоит ли требовать от желающего ксерокоопию его удостоверяющих документов, законно ли такое требование, или он может послать на законных основаниях? Что может дать
именее ксерокопии удостоверяющих документов?



5) Собственно сам процесс/ деятельность такого рода по заверению чужих ключей каким либо образом регламентируется законодательными актами на территории РФ?
Тот кто заверяет чужой ключ, должен ли нести какую либо ответственность? Или если это некак не оговорено законами, то еть что хочу и ворочу, никто мне не указ,
и не какой ответственности я не понесу, даже если заверю липовый ключ, подумаеш, и на старуху бывает проруха!
— unknown (10/03/2015 14:49)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Заверение ключей законом не регламентируется, по крайней мере пока это бесплатное и неофициальное занятие на уровне развлечений. Ключи может заверять кто угодно, этим потенциально подрывается только репутация заверяющего. Вообще, отчего такой интерес именно к заверению ключей? Пусть, к примеру, Денис Попов — известный программист, который подписывает своим ключом разные программы. Если вы доверяете его ключу, то когда он подпишет своим ключом ключ другого программиста — Васи Пупкина, то на основании подписи Дениса Попова можно будет с большей вероятность доверять и ключу Васи Пупкина. Но если Денис Попов для вас — не авторитет, то и его подписям на чужих ключах вы доверять не будете. А все эти паспортные проверки — это уже совсем утопия. Изначально было скорее расчитано на доверие, идущее от некоторой тусовки разработчиков или активистов, где многие известны и за её пределами, и знают друг друга внутри, и подделать отношения доверия между ними сложно. Подписи по типу нотариальных — это больше для центров сертификации и S/MIME.
— Гость (10/03/2015 15:42)   <#>

Не слышал о таком. За удостоверяющие документы не поручусь, но, например, документы об образовании посторонний проверить точно не сможет (разве что по косвенным признакам, анализируя сам бланк).


Ага, очень смешно.


Без должного уровня провреки. Расплывчато всё это, каждый сам для себя решает, что это значит. Может быть, в Web of trust есть какие-то рекомендации.


При наличии сообщников в банке например, повесить на вас кредит. Ещё можно на вас по интернету открыть счёт в платёжной системе и отмывать через него деньги за терроризм и наркоту.


Не путайте сеть доверия PGP с этим.


Нет, только морально-репутационную.


Да.
— Гость (10/03/2015 16:42)   <#>
— unknown (10/03/2015 14:49)

— Гость (10/03/2015 15:42)


Не занимайтесь переливанием из пустого в порожнее, есть конкрентые вопросы и должны быть конкретные ответы
— unknown (10/03/2015 16:52)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Степень долженствования конкретности достаточна по мнению отвечающих.
— SATtva (10/03/2015 17:06)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Никак не регламентировано, и это фича. Пользователь может самостоятельно сформулировать свою политику сертификации, для её указания есть штатная опция --cert-policy-url (см. man gpg).
— Гость (10/03/2015 18:02)   <#>
Пока читал про --cert-policy-url, наткнулся на это:

--no-for-your-eyes-only
Set the `for your eyes only' flag in the message. This causes GnuPG to refuse to save the file unless the --output option is given, and PGP to use a "secure viewer" with a claimed Tempest-resistant font to display the message. This option overrides --set-filename. --no-for-your-eyes-only disables this option.

и подумал, как же много в OpenPGP было запихнуто архитектурно совершенно ненужного... PGP-кмбайн не настолько проще SSL-комбайна, как это можно было бы подумать.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3