Пример
Помогите разобраться с примером, который приведен в документации.
Там таблица и сеть на картинке. Частично затрудняюсь перевести и поэтому затрудняюсь полностью понять все варианты.
Using trust to validate keys
https://www.gnupg.org/gph/en/manual.html#WOT-EXAMPLES
Ссылки
[link1] https://www.pgpru.com/biblioteka/osnovy/vvedenievkripto/glava1/podlinnostjdoverie
[link2] https://www.pgpru.com/biblioteka/osnovy/setjdoverija
[link3] https://keyserver.pgp.com/vkd/VKDVerificationPGPCom.html
[link4] https://www.pgpru.com/proekt/pravila
[link5] https://keyserver.pgp.com/vkd/DeliverSigningKey.event?rep=4
Вы читали это[link1] и это[link2]? Если да, то приведите конкретно, что Вам неясно в документации.
Сеть доверия позволяет использовать более сложный алгоритм проверки достоверности ключа.
Формально ключ полностью достоверен если вы его сами подписали. Ключ достоверен если он удовлетворяет двум вещам:
1) он подписан другим достоверным ключом, включая
– или он подписан одним полностью доверяемым ключом
– или он подписан тремя частично доверяемыми ключами;
ИЛИ
2) путь от некоего ключа K к вашему короче пяти или четырех ключей
Картинка показывает сеть доверия от ключа Алисы. Графы показывают чей ключ чиь подписан. Таблица показывает какие ключи Алиса считает достоверными основываясь на мнении доверия других
участников сети. Этот пример предпологает что два частично доверяемых ключа или один полностью доверяемый ключ необходим что бы удостоверится в подлинности другого ключа.
Максимальная длина пути не должна превышать трех ключей, четыре уже недопустимо.
Когда подсчитывается подлинность ключа в данном примере, предпологается изначально что ключи блейка и дхармы полностью подлинные так как их подписала сама алиса.
Подлинность других ключей зависит от степени доверия.
В первом случае к дхарме полное доверие, отсюда вытекает что ключи хлои и френсиса также полностью подлинные.
Во втором примере доверие к дхарме и блейку частичное. Так как необходимо два частично доверяемых ключа чтобы удостоверится в подлинности третьего,
то ключ хлои в этом случае полностью подлинный, однако ключ френсиса все же частично подлинный, так как ключ дхармы только частично доверяем, и по пу ти от дхармы до френсиса
получаем только частичную подлинность ключа френсиса.
В случае когда доверие к ключам хлои и дхармы только частичное, ключ хлои только частично подлинный, в то время как ключ дхармы полностью подлинный,
так как его подписала сама алиса.
Ключ френсиса в этом случае также только частично подлинный, так как только полностью подлинный ключ может использоваться для удостоверения подлинности другого ключа,
а ключ дхармы только один полностью достоверный ключ, который может быть использован что бы подписать ключ френсиса.
Когда ключи блейка хлои и дхармы частично доверяемы, то в этом случае ключ хлои считается полностью подлинным, и ключ хлои может быть использован для полного потверждения
подлинности ключа френсиса. Но три частично доверяемых ключа по цепочки через хлою дают только частичное доверие и частичную подлинность ключа елены.
Lastly, when Blake, Chloe, and Elena are fully trusted, this is still insufficient to validate Geoff's key since the maximum certification path is three, but the path length from Geoff back to Alice is four.
В последнем случае есть полное доверие к ключам блейка хлои и елены, но этого не достаточно чтобы утверждать что ключ геоффа подлинный, так так чтобы это утверждать,
длина цепочки должна состовлють три, а у нас от алисы получается уже четыри (алиса – блейк – хлоя – елена).
Надеюсь ВАМ это поможет разобраться во всех хитросплетениях.
Благодарю за перевод, великой душевной шедрости ЧЕЛОВЕК. Потихонюку разбираюсь.
НЕ СТОИТ, всегда рад помочь новичкам.
А правильно понимаю, что PGP не имеет сети доверия,
сеть доверия есть только у GPG? А как тогда проверять ключи
чисто PGP? Кому в этом случае доверять? Корпорации Семантик?
Как проверить ключ PGP?
Неправильно, имеет, OpenPGP стандарт общий, в реализации также много общего.
Вопрос только, зачем сейчас кому-то ещё нужно PGP вместо GnuPG, за исключением случаев коммерческого использования и аутсорсинга безопасности?
Но веди PGP используют. Так как проверить подлинность через PGP?
Точно так же, модель та же самая, смотрите ссылки в начале треда. Отличие по сути только в том, что по умолчанию достаточно двух частично доверенных подписей (если в последних версиях ничего не поменяли).
[moderator]
Нижеследующая инструкция содержит ложные выводы. Следование ей способно скомпрометировать вашу безопасность.
[/moderator]
Для PGP это делается так. Применительно к GPG, так как у самого нет PGP, но можно посмотреть.
1) Идем на официальный сайт ключей симантика https://keyserver.pgp.com/vkd/GetWelcomeScreen.event
2) Ищем ключ филла циммерманна по ID prz@mit.edu или почте prz@mit.edu
3) Скачиваем этот ключ
4) Импортирруем на связку
5) Открываем его через консоль
6) gpg.exe --homedir="?" --list-sigs
7) видим что на нем много подписей, значит он подлинный
к примеру sig sig CF73EC4C все на том же https://keyserver.pgp.com/vkd/GetWelcomeScreen.event
находим этого пользователя Will ну и так далее по всем подписям.
ОБРАТИ ВНИМАНИЕ на подпись CA57AD7C PGP Global Directory Verification Key. Эта подпись говорит о том что компания
семантик подписала ключ филла циммермана, говоря о том что семантик подтверждает подлинность ключа филла циммерманна и полностью доверяемт его ключу.
А ТАКЖЕ то что филл циммерман подписал ключ CA57AD7C PGP Global Directory Verification Key компании семантик, он утверждает его подлинность и полностью ему доверяет.
СКЛАДЫВАЯ ВСЕ СЕМЬ ПУНКТОВ, мы делаем вывод что ключ филла циммерманна на сервере ключей семантика ПОЛНОСТЬЮ подлинный и ему можно ПОЛНОСТЬЮ доверять.
Никогда так не делайте. Сгенерировать ключ с любым UID — не проблема, сгенерировать кучу других ключей и подписать ими первый — не проблема.
Ничего подобного. Это подпись автоматической валидации почтового адреса и ничего более. Никакой проверки, принадлежит ли этот ключ и email тому человеку, имя которого указано в UID, не проводится.
Гость написал какой-то феерический бред, не читайте его.
А можно по подробнее про
У многих на открытых ключах ее вижу, не могу понять откуда она берется? И для чего она вообше нужна?
Кто ее добавляет, компания семантик?
При загрузке ключа на keyserver.pgp.com, он высылает запросы на все указанные на ключе email-адреса. При подтверждении такого запроса сервер автоматически подписывает данный UID. Причём подтверждение запроса не требует доказательства владения закрытой частью ключа. То есть с криптографической точки зрения эта подпись вообще ни о чём не говорит, т.к. подтвердить такой запрос может кто угодно, имеющий доступ к почтовому ящику или каналу связи, а даже не только владелец ключа.
А для чего компании семантик необходимо проверять емайлы указанные в UIDах ?
Что это дает? Или ничего не дает? Как интерпретировать эту информацию?
И почему у многих на ключах сразу по несколько десятков этих CA57AD7C PGP Global Directory Verification Key
Компания Саймантик заверяет своим ключом, что кто-то умеет перехватывать почту владельца и слать ей подставные ответы.
Они позиционировали эту фичу как возможность дать владельцу ключа некоторый контроль по загрузке ключа на сервер (загрузка также требует подтверждения) и его удалению.
Принимайте её в том духе, что владелец ключа с некоторой вероятностью имеет доступ к указанному в UID почтовому ящику.
Раньше это подтверждение выдавалось на ограниченный срок (то ли 3, то ли 6 месяцев) и по его окончании сервер повторно пинговал почтовые ящики и продлевал свою подпись. Для продления подписи требуется сгенерировать новую с новым сроком действия, из-за чего пакеты подписей аккумулировались в нездоровом количестве. Видимо, по данной причине эту порочную практику свернули.
Лолда.
А у филла циммерманна аж 2014 годом CA57AD7C PGP Global Directory Verification Key датирован и начиная кажись с 2003 что ли
Значит, не свернули (где вроде бы проскакивала такая информация).
https://keyserver.pgp.com/vkd/.....ificationPGPCom.html[link3]
[moderator]
Оверквотинг, исправлена ссылка. Автору напоминаю о правилах[link4] сайта, в другой раз пост будет просто удалён.
[/moderator]
Вы имели в виду сразу на главной странице https://keyserver.pgp.com/vkd/GetWelcomeScreen.event внизу
https://keyserver.pgp.com/vkd/.....ificationPGPCom.html[link3] + https://keyserver.pgp.com/vkd/.....gningKey.event?rep=4[link5] ???
Да, оно самое
Предлагают ознакомится и загрузить их CA57AD7C PGP Global Directory Verification Key