web-dev-qa-db-ja.com

PGPは不正なキーサーバーに対して安全ですか?

イブがアリスとボブの両方が使用しているキーサーバーを引き継ぐことを想像してください。

AliceとBobの公開鍵を自分のものに置き換えることにより、中間者攻撃を実行してメッセージを復号化し、元の鍵で再暗号化して中継することができます。

アリスとボブが(秘密鍵でハッシュを暗号化することによって)メッセージに署名したとしても、アリスとボブは署名を検証するために偽造された公開鍵しか持っていないため、イブは署名を自分のものに置き換えるだけで済みます。

アリスとボブの公開鍵が他のユーザーによって署名されている場合でも、イブは他の多くの偽のユーザーと一緒に彼女の偽の鍵に署名することもできます。鍵の署名を検証するために、アリスとボブは再びこれらの署名を検証するための公開鍵を提供するために鍵サーバーに依存する必要があります。

イブは署名を偽造できないため、署名された公開鍵が本物であることを確認する唯一の方法は、アリスとボブ自身への信頼の連鎖に従うことです。しかし、1つには、信頼の連鎖がアリスとボブに届かず、さらに深刻なことに、OWN署名を検証する場合でも、改ざんされていない公開鍵にアクセスする必要があるため、ローカルでの移動と同じくらい重要になります。秘密鍵。

この事実は通常のPGPマニュアルでは言及されておらず、公開鍵はパスフレーズで保護されておらず、不正なキーサーバーからの「更新」によって上書きされる可能性さえあります。

私の仮定のどこが間違っていますか?これを防ぐためにどのような対策が取られていますか? GnuPGの「署名の検証」機能は確かに信頼の連鎖に従って独自の秘密鍵に戻っていますか、それとも、キーサーバーからの公開鍵を使用して署名の最初のレベルをチェックするだけですか?

更新:GPGキーフェッチは安全な接続を使用する必要はありませんか? 」と「 キーサーバーへの接続は暗号化されていますか? "。つまり、両方とも、自分の(または最終的に信頼できる)鍵から送信者への1つ(またはそれ以上)のパスを見つけることができなければ、完全なPGPシステムは役に立たないと述べています。しかし、最終的には、自分の(または他の最終的に信頼されている)公開鍵のローカルコピーの整合性に最終的に到達するとは述べていません。だから問題は残っています:これはGnuPGによって強制され、チェックされますか?

public-key-infrastructurepgpgnupg
14
Chaos_99

結局、それは理由のための「信頼」の連鎖です。ある時点で、検証した個々の証明書に基づくWebの信頼、または信頼できる第三者を信頼して信頼する必要があります。間違ったパーティーを信頼すると、すべてが失敗します。信頼は魔法の万能薬ではなく、信頼できる人物についての決定に基づいて、何かにどれだけの信頼を置いたかを評価する方法にすぎません。

秘密鍵から公開鍵を検証して、一致することを確認できることに注意してください。秘密鍵で何かを暗号化する場合は、公開鍵で復号化する必要があります。そうでない場合、それはあなたの公開鍵ではありません。

また、誰かに直接連絡して公開証明書のサムプリントを提供し、変更されていないことを確認することも可能です。また、取得したローカルストアからのキーを使用することもできます。イブは最初の鍵交換しか攻撃できず、かなり高度な攻撃なしに別のチャネルを介して2者間のサムプリントの2次検証を簡単に損なうことができないため、これはイブの実行を大幅に制限します。このセカンダリセキュアチャネルの検証は、まだ信頼されていないすべてのキーに対して(署名またはその他の安全なメカニズムを通じて)行われ、公開キーが改ざんされていないことを確認する必要があります。

本当に重要なことは、信頼のWeb内の任意のキーサーバーまたは個人に信頼を与えることは、実際にそれらを信頼する必要があることを理解することです。それらに対するセキュリティを信頼しない場合は、それらを信頼しないか、またはそれらから得たものが有効であることを確認するための代替手段を講じてください。

5
AJ Henderson

PGPキーサーバーは大きな壁であり、たまたま壁に沿って歩いているすべての人に、誰でも紙を接着することができます。誰も実際には、紙に書かれていることの真実性についてのあらゆる種類の主張を提供するために壁を信頼していません。それは単なる壁であり、マインドレスの原型です。

PGP公開鍵は、その鍵にある他の鍵ベアラによる署名に応じて、信頼できる場合とそうでない場合があります。これは、PGPが使用する [〜#〜] pki [〜#〜] のような Web of Trust です。署名は、署名されたデータがどのように保存および転送されたかに完全に依存していません。それがポイントです。このシステムでは、キーサーバーに依存してセキュリティプロパティを強制することはありません。同様に、署名された鍵は、電子メール、電話回線、または 鳥のキャリア でも送信できます。これは重要ではありません。

不正なキーサーバーが実行できる最悪のことは、その仕事をやめることです。一部のキーを削除することで含まれています。お互いに知らないが、お互いに電子メールを送信したい人にとって、署名された鍵のチェーンを構築し、それぞれの公開鍵への信頼を得ることがより困難になることを除いて、それはあまり影響を与えません。

7
Tom Leek