OpenPGP鍵の所有権を確認するにはどうすればよいですか?
Diceware作成者の公開鍵を追加しました(実用的な例として使用してください)。diceware.wordlist.ascをダウンロードして追加しましたが、彼の鍵がなく、すぐにインポートするために見つけることができませんでした。 GnuPGに。
だから即興でやったgpg --verify ~/Desktop/diceware.wordlist.asc。
これは、ファイルがキーID AC3184A1で署名されていることを示していました(短いキーID、わかっています...しかし、それがgpgで示されたものです!)
私はそれを取ってgpg --recv AC3184A1。私が今持っているもの。
このキーがArnold G. Reinholdによって所有されていることを確認するにはどうすればよいですか?
確かに、gpgのキーIDオーナーに名前が表示され、見つかった同じフィンガープリントが ここにリストされます 。ただし、どちらも信頼できる検証方法ではありません。指紋は信頼できないページにあり、私の知る限り、私の指紋がPCに到達する前に転送中に変更されました。名前は、任意のgpgクライアントを使用して自分で複製できる任意のデータです。
誰かの鍵をインポートすると、「Web of Trust」の署名を表示するように言われたことを覚えています。私はそのコマンドを見つけようとしてきましたが、確実に特定することができませんでした。私はこのコマンドを見つけました。これはWOTコマンドだと思います:gpg --list-sig AC3184A1これを発行すると、次のようになります。
pub 1024R/AC3184A1 1995-02-23
uid Arnold G. Reinhold <[email protected]>
sig AC3184A1 1995-02-23 Arnold G. Reinhold <[email protected]>
sig 5F63A5B9 1995-03-27 [User ID not found]
sig 0959ECA9 1995-12-02 [User ID not found]
sig 0FF98BC9 1997-04-20 [User ID not found]
sig E3EF9085 2001-11-28 [User ID not found]
sig AC48A400 2001-10-22 [User ID not found]
sig 066030C3 2001-11-28 [User ID not found]
sig D782FE45 2002-03-31 [User ID not found]
sig BBD264A6 2004-01-02 [User ID not found]
sig 1 87D1CE0F 2004-03-04 [User ID not found]
しかし、それらはすべて[ユーザーIDが見つかりません]です。
それで、繰り返しますが、キーが誰のためのものであるかを確認するにはどうすればよいですか?
PS。 1024ビットの主要な弱点には触れないでください。私はこれを知っている。
UPDATE:
ここですべてを正しく行い、gpg --list-sig AC3184A1これを発行すると、次のようになります。
pub 1024R/AC3184A1 1995-02-23
uid Arnold G. Reinhold <[email protected]>
sig AC3184A1 1995-02-23 Arnold G. Reinhold <[email protected]>
sig 5F63A5B9 1995-03-27 [PEOPLE I [email protected]]
sig 0959ECA9 1995-12-02 [PEOPLE I [email protected]]
sig 0FF98BC9 1997-04-20 [PEOPLE I [email protected]]
sig E3EF9085 2001-11-28 [PEOPLE I [email protected]]
sig AC48A400 2001-10-22 [PEOPLE I [email protected]]
sig 066030C3 2001-11-28 [User ID not found]
sig D782FE45 2002-03-31 [User ID not found]
sig BBD264A6 2004-01-02 [User ID not found]
sig 1 87D1CE0F 2004-03-04 [User ID not found]
[PEOPLE I [email protected]]がすべて偽造IDでないことを確認するにはどうすればよいですか? [PEOPLE I [email protected]]キーIDを作成して公開できるようになりました。
PS:これは私がこの質問で使用している Dicewareリスト です
始める前の重要な注意:OpenPGPには 誰を信頼するかを誰も教えていない があります。この検証は自分で行う必要がありますが、そのためのツール(信頼のWebでの証明書など)があります。同じ理由で、特定のOpenPGP鍵を検証するための段階的なチュートリアルを提供することはできませんが、howについてのアドバイスは提供できます自分で確認することもできます。
鍵の所有権を確認する方法は2つあります。直接または信頼のWebを介してです。
OpenPGP鍵の直接検証
これはかなり明白です。所有者を見つけ、信頼できるチャネルを通じて彼に尋ねます。彼との出会いは、おそらく面倒を最小限に抑えます-予約と旅行の修正は別として。
これが手間や費用が高すぎる(多分そうなるでしょう)場合は、他の方法で指紋を確認できます(偏執性に応じて選択してください。これらすべてがユースケースに適しているわけではありません)。
- Webサイトで確認します。正しく暗号化されていない場合、または証明書を信頼していない場合は、archive.orgなどのWebキャッシュに対する確認も検討してください。これは、Webサイトの変更のタイムラインもホストします。さまざまな国からの可能性のある複数の接続の使用を検討してください(誰かに尋ねて、VPN、プロキシなどを使用してください)。
- 完全に接続されていないチャネルに対して確認します。たとえば、指紋が製品の箱のどこかに印刷されていたり、信頼できる場所に含まれていたりする場合があります。たとえば、ドキュメントのどこかに指紋が記載されているDebianパッケージはありますか?
- 密接に関連したニュースグループとメーリングリストで署名付きの投稿を検索します。署名された投稿の履歴があり、誰も「ねえ、それは私ではありません!」と叫んでいない場合、これは鍵が主張する人物に属している可能性があることも示しています。
- 一般に、特に時間の経過とともに、キーが正しいものであることがわかる限り多くの兆候を見つけようとします。また、所有者に属しているように見えても、使用されていないキーが他にもあるかどうかを調べます(上記のように、ニュースグループの投稿、メーリングリスト)。 )。
最後のポイントは、すべてが問題なく表示であり、どれだけ受け入れるかはニーズによって異なります。
Web of Trustによる検証
代わりの方法は、信頼のWebによる検証です。信頼チェーンを構築するための便利なツールは PGPパスファインダー です。私は、自分のキーからAnold Reinholdのキー(ところで、使用が制限されています)への信頼パスを使用して例をリンクしました。
信頼の網全体を検証するには、信頼パスを構築する必要があります。これは、中間の各ステップを検証する方法が必要であることを意味します。送信証明書を持つ有効な鍵がある場合、認証された鍵も有効になります。最大パス長、認証レベル、信頼設定にも依存します。 「 信頼に関するこのgpg出力の正確な意味は何ですか? 」にいくつかの詳細をまとめました。
誰も知らないために信頼パスを構築できない場合は、信頼できる組織に行くことができます。証明書を発行したすべてのキーを取得するか、 すでにすべてを知っているキーサーバーにクエリを送信します 。有名で信頼できる組織を認めていますか?あなたは彼らの従業員/メンバーを信頼することを受け入れ、組織のウェブサイトを通して彼らの指紋を確認することができるかもしれません。どれが完全に信頼できると考えるかは、あなたの個人的な意見にかかっています。 John R. Levine 異なるキーから複数の認証を発行し、彼の出版物や作品でよく知られているため、説明されているいくつかの方法で彼のキーを検証できる場合は、出発点として適しています。上記に記載されています。
これらの信頼パスをブートストラップする良い方法は、さまざまな機会に定期的に 鍵署名者 にアクセスすることです。
認証局による確認
これは実際には信頼ネットワークのウェブに非常に近く、実際に同じツールを使用しています。認証局(X.509からも知られています)は、一連のルールに基づいて証明書を発行します。 CAを信頼すれば、すべての証明書を信頼できます。 OpenPGP環境におけるそのようなCAの例は、
- CAcert (OpenPGPキーにも署名します)
- Heise Verlag (ドイツのサイト、ドイツのコンピューターサイエンス誌をいくつか運営している会社、およびいくつかのCAサービスも行っています)
- PGPグローバルディレクトリ (検証されたメールアドレスのみ、IDなし)