id: Гость   вход   регистрация
текущее время 01:57 19/06/2024
Автор темы: alerud, тема открыта 31/08/2010 16:14 Печать
Категории: софт, gnupg
https://www.pgpru.com/Форум/РаботаСGnuPG/КакВытащитьОрганизациюВыдавшуюКлюч
создать
просмотр
ссылки

Как вытащить организацию, выдавшую ключ?

Хочу из выдачи gpg вытащить не только пользователя (user), но и выдавшего ключ (issuer)
gpg --no-tty --list-sigs --fixed-list-mode --with-fingerprint --with-colons
Из DETAILS.gz мне это понять не удалось (я новичок в работе с gpg). Посоветуйте, пожалуйста, в каком типе записей (второй uid в ключе? sig?) это искать.


 
На страницу: 1, 2 След.
Комментарии
— SATtva (31/08/2010 18:53)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Хочу из выдачи gpg вытащить не только пользователя (user), но и выдавшего ключ (issuer)

Вы не путаете OpenPGP с X.509? Или забыли нам что-то сказать (например, что используете gpg2 и пытаете им сертификат X.509)?
— alerud (31/08/2010 18:59)   профиль/связь   <#>
комментариев: 4   документов: 1   редакций: 0
Не совсем забыл. :)
Одно из моих заданий – добавить в систему возможность указания своего публичного ключа и отображение информации из этого ключа. На сервере установлен gpg. Заказчик указал, какую именно информацию из ключа надо отображать. Всё, кроме одного поля, понятно откуда брать. А вот откуда брать выдавшего ключ, пока не пойму.
Вы хотите намекнуть, что это поле только в X.509?
— SATtva (31/08/2010 19:04)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Прямо вот на это и намекаю.
— alerud (31/08/2010 19:26)   профиль/связь   <#>
комментариев: 4   документов: 1   редакций: 0
И искать это поле в выдаче gpg 1.4.6 бесполезно?
— SATtva (31/08/2010 19:39)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ну нет концепции issuer в OpenPGP, что Вы там будете искать? В X.509 PKI как бы подразумевается, что самоподписанным сертификатом можно подтереться, поэтому он якобы "издаётся" некоей третьей стороной (хотя всё это чушь на самом деле).
— alerud (31/08/2010 20:18, исправлен 31/08/2010 20:20)   профиль/связь   <#>
комментариев: 4   документов: 1   редакций: 0

а второй GPG хоть как-то эти сертификаты обрабатывает? Судя по DETAILS.gz там в выдаче есть crt и crs записи...
1.4.5 не обрабатывает, насколько я понял

— SATtva (31/08/2010 20:24)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Так Вам что надо, X.509 или OpenPGP? Или заказчику плевать, лишь бы issuer был?
— alerud (31/08/2010 20:26, исправлен 31/08/2010 20:27)   профиль/связь   <#>
комментариев: 4   документов: 1   редакций: 0

Заказчику надо PGP, но он отличается крайней лаконичностью. Увы.
Буду пытаться выяснить, что он хочет.

— Гость (31/08/2010 20:47)   <#>
[offtop]
Как вытащить организацию, выдавшую ключ?
Наверное, я один, кто прочитав название топика в "последних комментах" решил что речь идёт о "вытаскивании" (коммерческой) организации, по глупости слившей ключ органам от компрометирующих данных (типа юридическая помощь и что можно в таких случаях сделать). Да, у меня параноя.
[/offtop]
— falkenberg (21/03/2012 22:20)   <#>
Кажется я вопрос понял. И у меня есть схожий. Как из подписи проверить что ключ подписавшего был подписан таким-то ключом. Скажем, его фингерпринт имеется. Это позволило бы проверить имеет ли подписавший право подписывать что-либо, скажем код для исполнения. Например у нас есть мастерключ, созданный для того, чтобы раздавать эту привелегию. Если им подписан чей-либо ключ, то владелец этого ключа имеет право подписывать им свои программы для их запуска на каком-либо ресурсе. Ну это пример. Как подобную штуку реализовать с помощью gpg? Это помогло бы с помощью gpg не только проверить подлинность подписи, но и выполнить авторизацию на основе роли.
— falkenberg (22/03/2012 00:01)   профиль/связь   <#>
комментариев: 20   документов: 1   редакций: 12
Есть идейка, правда кривая. Для осуществления проверки на роль надо иметь в pubring-е всего один доверенный ключ, соответствующий выбранной роли. Если попись проходит проверку, то значит владелец ключа получил подпись "ролераздавателя", если же нет – значит нет. Минус такой схемы в том что для каждой роли нужен свой pubring, что не всегда гут
— unknown (22/03/2012 10:55)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
По подписи можно узнать практически только отпечаток ключа. По отпечатку ключа можно получить обновлённую версию открытого ключа с сервера публичных ключей (общедоступного или корпоративного) и добавить его на свою связку с открытыми ключами. Дальше можно посмотреть, какими ключами подписан ключ.

Но проблема в том, что подписи gpg-ключей сами по себе ничего не удостоверяют кроме факта заверения аутентичности. На подпись к ключу нельзя приклеить никакого обязательства. Не могу сходу сказать, есть ли какой-либо механизм отзыва подписи на ключе, кроме как отозвать сам подписывавший ключ (что неудобно).

Можно действительно завести специальный ключ, в котором в UID или в комментариях прописать, "это ключ для заверения филиалов банка", "это ключ для заверения ключей участников проекта OpenPGP" и т.д. и использовать его только для этой цели.
Для отзыва завести второй ключ (здесь есть потенциально ненадёжный, уязвимый момент). Если это именно то, что вам нужно, тогда это отчасти решение.

Для закрытой инфраструктуры с иерархией традиционно создавалось не (Open)PGP, а SMIME, подписи на сертификатах. Вся инфраструктура таких центров сертификации может опираться на внутрикорпоративное решение (даже без необходимости использования коммерческих сертификатов).
— SATtva (22/03/2012 11:25)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Не могу сходу сказать, есть ли какой-либо механизм отзыва подписи на ключе, кроме как отозвать сам подписывавший ключ (что неудобно).

Заверитель может отозвать свою подпись. В GnuPG делается через --edit-key и revsig.
— falkenberg (22/03/2012 11:28)   профиль/связь   <#>
комментариев: 20   документов: 1   редакций: 12
Почему не существует? Кажется вполне себе существует: отзываешь свою подпись, потом отправляешь на кейсервер, откуда отзыв распространяется дальше.
Насчет спецключа – именно это я и говорил. Кажется именно так подписывают пакеты во всяческих линуксах чтобы точно знать что они не поддельные. Однако способ с отдельным кейрингом на каждый такой спецключ не вполне элегантен: а что, если таких спецключей несколько? На каждый свой кейринг с доверенным спецключом для проверки? Может есть какой более правильный способ?
Насчет SMIME. А можно в архитектуре x509 иметь более чем 1 CA? один – для заверки аутентичности ключа, а другой – для индикации его принадлежности к той или иной группе? Если можно, то как это сделать в OpenSSL?
— SATtva (22/03/2012 11:40, исправлен 22/03/2012 11:41)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А можно в архитектуре x509 иметь более чем 1 CA?

В смысле, больше одного заверителя у ключа? Нельзя. В этом принципиальное отличие от OpenPGP.

На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3