web-dev-qa-db-ja.com

PGP所有者の信頼フィールドと署名の信頼フィールドの区別

私は暗号とネットワークセキュリティの原則と実践(第5版、p584)とPGPキーリングについて読んでいますが、所有者の信頼フィールドと署名の信頼フィールドの違いについて少し混乱しています。私は引用します:

次に、各署名には、このPGPユーザーが署名者を信頼して公開鍵を証明する程度を示す署名信頼フィールドが関連付けられています。

そして...

この公開鍵が他の公開鍵証明書に署名するために信頼される度合いを示す所有者信頼フィールドが含まれています。

私が読んでいるPowerPointスライドは、2つを明確に区別していないようです。

  • 署名の信頼フィールド:PGPユーザーが署名者を信頼して公開鍵を証明するまでの期間を測定します。 (エントリの主要な正当性フィールドは、署名信頼フィールドから派生します。)
  • 所有者信頼フィールド:このPGPユーザーが他の公開鍵証明書に署名するために鍵の所有者を信頼する度合いを示します。 PGPはこのレベルの信頼を計算しません。 PGPユーザーが割り当てます。署名信頼フィールドは、別のエントリからの所有者信頼フィールドのキャッシュされたコピーと考えることができます。

所有者信頼フィールドは、私(キーリング所有者)がテーブル内の公開鍵エントリを信頼する範囲であると言っても正しいですか?

署名信頼フィールドはユーザーが手動で設定しますか?

ボブからの公開鍵エントリがあり、チャーリーとデビッドが署名した場合、その鍵に2つの署名信頼エントリがありますか? -そして、これらを手動で設定する必要がありますか? -私がデビッドを知らない場合はどうなりますか?

4
Crizly

所有者と署名の信頼

Signature trustは、ユーザーが別のユーザーのIDに信頼を置くことを意味します。アリスがボブのキーに署名(またはこれから私が他のキーに署名するために使用する用語です)する場合、彼女は自分の身元を信頼することを宣言します(規則はすべて)。これらの証明書は通常、キーサーバーで公開されています。これらの証明書を取得できます(他の誰かのキーを取得すると、そのキーのすべての証明書も自動的に受信されます)が、現時点ではまだ使用できません(自分で発行しない限り)。

所有者の信頼はあなただけが発行し、他の人とは共有されません。それは、適切な認証を行う他の誰かの能力を信頼するかどうかを定義します(つまり、アリスはボブのIDを注意深くチェックします)。

両方の種類の信頼を一緒に取る場合、誰かに会ったことはありませんが、他者のキーを検証できます。あなたがアリスを知っていて、彼女のキー(署名の信頼)を証明したとすると、彼女のキーはvalidです(あなたは彼女が誰であるかについて確信しています)。オーナーの信頼を彼女に発行しない限り、ボブに関する彼女の認証は、ボブのキーを検証するためにまだ考慮されていません。アリスの鍵に対する所有者の信頼も発行する(したがって、他の人の認証に関する彼女の決定を信頼する)場合、彼女の発信認証も考慮されます。ボブのキーも有効になりました。

詳細については、 信頼に関するこのgpg出力の正確な意味は何ですか? を参照してください。

あなたの質問

所有者信頼フィールドは、私(キーリング所有者)がテーブル内の公開鍵エントリを信頼する範囲であると言っても正しいですか?

はいといいえ。上記のようにpartの信頼です。証明書を正しく発行する鍵所有者の能力を信頼します。

署名信頼フィールドはユーザーが手動で設定しますか?

その他の方法:signature trustは誰からも発行され、キーサーバーで共有されます。各OpenPGPユーザーは手動で(そして自分で)所有者の信頼を設定する必要があります。

ボブからの公開鍵エントリがあり、チャーリーとデビッドが署名した場合、その鍵に2つの署名信頼エントリがありますか? -そして、これらを手動で設定する必要がありますか? -私がデビッドを知らない場合はどうなりますか?

証明書(署名)がキーサーバーにアップロードされている場合は、キーサーバーからBobのキーを読み込むことで証明書を取得できます。したがって、いいえ。手動で設定する必要はありません。また、(ボブのキーを確認しなかった場合)設定する必要もありません。あなたできましたしかし、所有者の信頼を発行します。

Davidを知らない場合(つまり、キーを認証していない場合)、値は変更されません。つまり、Davidのキーに所有者の信頼を置かなかったため、Davidの認証は何も変更しません。

5
Jens Erat