подписывание ключа
Скажите пожалуйста, к примеру я поместил ключ некоторого человека NN на свою связку. Этот ключ мной подписан не был, однако он подписан другим человеком MM, ключ которого в свою очередь уже находится у меня на связке и мною подписан, причем для него установлен средний уровень доверия. В результате ключ человека NN автоматически становиться валидным, на что указывает зелененький шарик графы Validity. Вопрос: Стоит ли в этом случае подписывать ключ человека NN?
комментариев: 9796 документов: 488 редакций: 5664
"Этот случай" не дает ответа на такой вопрос. Подписывать стоит, если Вы доверяете подлинности ключа непосредственно, а не на основании подписей владельцев других ключей.
комментариев: 11558 документов: 1036 редакций: 4118
В этом случае ключ NN получит только маргинальную достоверность (при определённых настройках программа даже не позволит им шифровать). Если Вы доверяете MM частично, а не полностью (имея на это, по-видимому, какие-то основания), то и не должны рассматривать его мнение о достоверности ключей как некую абсолютную истину. Ответ unknown полностью справедлив: подписывайте, только если имеете непосредственную убеждённость в подлинности.
Человека NN хотел сказать.
комментариев: 11558 документов: 1036 редакций: 4118
Разумеется. В модели доверия PGP это решаете Вы сами. Опирайтесь на личностные качества человека, его порядочность и компетентность в понимании и умении работать с PGP.
Если ЭЦП будет сверена корректно, то будет достоверным и содержание письма. Однако если ключ не признан полностью подлинным, у программы будет сомнение не в целостности сообщения, а в аутентичности источника (при этом она сообщит Good signature from invalid key). Это не менее тонкий момент. Да, после подписания письмо могло не подвергнуться изменению; вопрос в том, каким ключом оно было подписано, и является ли этот ключ действительно принадлежащим предполагаемому отправителю (человеку, чьё имя указано на ключе). Показателем последнего и служит достоверность (validity) ключа.
Я предпочитаю включать в настройках программы (вкладка Advanced) опцию Tread marginally valid keys as invalid (расценивать частично достоверные ключи как недостоверные), дабы одной подписи с маргинальным доверием было недостаточно для подтверждения подлинности ключа. Это повышает точность и снижает вероятность ошибки.
SATtva, простите, поясните пожалуйста. Причем здесь личностные качества и компетентность работы с PGP? Насколько я понимаю, речь идет о случае – нет ли «человека посередине» или Вы имели в виду компетентность человека MM?
Я попробовал включить данную опцию. Да, при частичном доверии человеку MM, зелененький шарик графы «валидность» стал сереньким. Мне кажется, что здесь есть повод для дальнейших размышлений. В смысле решения для себя вопроса о доверии – здесь более менее все ясно, с каждым за ручку не познакомишься и ключ лично на дискете не передашь. А вот в программе сделал дополнительный индикатор, к примеру, при маргинальной достоверности закрашивание шарика графы Validy» зеленым цветом наполовину (желательно, что бы где-то можно было отследить путь), или еще какую – нибудь фишку, например что бы программа сообщала, что письмо получено от человека, чей ключ достоверен маргинально. Когда на связке 3 ключа, все кажется более менее просто, но если их существенно больше, то становится несколько сложнее.
комментариев: 11558 документов: 1036 редакций: 4118
Ну так а кого Вы доверием наделяли? Доверие (Trust) — это отношение к человеку, достоверность (validity) — характеристика ключа. Вы доверяете MM, что он не станет подписывать липовый ключ того самого "человека посередине", а проведёт определённую проверку личности владельца ключа перед подписанием. После подписания ключ NN получит через эту делегированную долю доверия какую-то степень достоверность — т.е. возрастёт вероятность, что этот ключ действительно подлинный.
Настройки программы, вкладка Расширенные (Advanced), опция Отображать частичную достоверность (Display marginal validity level).
«Поэтому, заверяя открытый ключ, обращайте внимание, под какой записью ставите свою подпись. Подписывайте только те сведения, которые считаете достоверными, полагаясь на своё личное непосредственное убеждение и какие-то объективные подтверждающие факты, поскольку подпись поручительствует в подлинности только заверенной записи сертификата, а не в подлинности сертификата в целом (однако, чтобы заверить подлинность самого открытого ключа, достаточно одной подписи под любой записью сертификата – нет нужды подписывать их все).»
И вот в чем пробел. Я подписал только одну запись сертификата одного из ключей, которая не является главной (не первая в списке). Шарик Validi против этой записи сертификата стал зеленым, а вот то же шарик против самого ключа так и остался сереньким. Доверие установлено полным. Почему?. При сверке подписи от корреспондента я получаю сообщение «хорошая подпись от недостоверного ключа». Если я подписываю весь ключ, то все нормально. Но ведь в руководстве написано, что нужно подписать лишь любую запись сертификата.
Правда при установке подписанной записи сертификата первой в списке все становиться на свои места. Так и должно быть?
комментариев: 11558 документов: 1036 редакций: 4118
Да, всё верно. Это недочёт в руководстве. Хорошо, что обратили внимание. Достоверность ключа в целом подтверждает только подпись, поставленная на главном имени сертификата. Подписи под вторичными именами заверяют только указанные в них реквизиты (например, почтовые адреса).
комментариев: 11558 документов: 1036 редакций: 4118
Ответ на вопрос: выделяете нужный ключ, в строке меню выбираете Edit > Expand Selection и смотрите, под какими именами в сертификате стоят Ваши подписи.
комментариев: 510 документов: 110 редакций: 75
комментариев: 11558 документов: 1036 редакций: 4118
Почитайте в руководстве о сертификации ключей. Там о типах подписей чуть подробнее сказано.
комментариев: 510 документов: 110 редакций: 75
Здравствуйте!
Не могу найти данную опцию в 9-й версии, вкладки Advanced в опциях нет, как это было в PGP8. В данной версии ее нет, или просто где то спрятана? Спасибо.