[gnupg-ru] Стандарты интернет-общения с PGP/GnuPG

Чт Май 6 08:53:17 CEST 2004

On 8736 day of my life Igor Didkovsky wrote:
> А как его лучше импортировать? Все вокруг да около консоли и разных
> серверов ключей. Вот если бы каждый пользователь PGP взял за правило
> указывать расположение своего ключа в Интернет... 

У меня в заголовках каждого отправляемого сообщения содержатся
следующие строки:

X-PGP-KeyID: 0xE2B9AC8FAE956E17 (1024D)
X-PGP-Fingerprint: A645 1AA1 920B 88FF B4C0  E32C E2B9 AC8F AE95 6E17
X-Request-PGP: hkp://sks.keyserver.penguin.de

Некоторые указывают способ получения ключа в текстовой подписи,
т.е. последних строках сообщения, у меня это

,----
| -- 
| Ivan Boldyrev
|                                         Жизнь?  Не говорите мне о жизни!
`----
Но тут я ничего не указываю, всё указано в заголовках.

Кроме того, многие импортировали свои ключи на кейсерверы, и в
общем-то можно воспользоваться любым неглючным сервером.  Ситуацию
осложняют подписи подключами, но SKS-сервера умеют искать и по
подключам.

> А так какая-то околесица - подписываю незнаю зачем и по какому
> случаю... В общем-то даже [gnupg-ru] никаких стандартизующих
> предложений на этот счет не вносит... а жаль :(

ИМХО у gnupg-ru несколько другая роль.

> Разве не важна возможность убедится пользователя PGP/GnuPG в том что
> именно ты, а не кто-то другой, написал это сообщение? 

Для начала нужно убедить, что ключ действительно принадлежит тебе, а
не кому-то другому.  Я знаю два способа решения этой проблемы: Web of
Trust (используемая в OpenPGP) и система с центром, выдающим
сертификаты (вроде VeriSign).

А насчёт скачанного (откуда угодно) ключа нельзя сказать ничего
определённого.  Куда бы пользователь его не выложил.  В этом смысле
кейсервер почти ничем не отличается от домашней страницы.

Некоторые группы пользователей создали достаточно сильную Web of
Trust, например, разработчики Debian.  ИМХО, PGP удобнее как раз для
аутентификации внутри подобных групп, а не для аутентификации всему
миру, как это сделано в S/MIME.  Хотя с другой стороны, и для ключей
OpenPGP можно создать сертифицирующий центр (весьма своеобразным
примером служит http://www.toehold.com/robotca/), но пользователи не
будут по умолчанию ему доверять.

> У кого на этот счет есть свои методики импорта ключей с разных
> серверов,

Либо ключ мне передают лично, либо я импортирую его с того же
hkp://sks.keyserver.penguin.de.  Естественно, подпись я ставлю только
в первом случае.  Во втором случае я иногда позволяю себе делать
локальную подпись.   В принципе, и на импортированном ключе я мог бы
поставить подпись после соотв. проверки, но пока у меня не было
возможности сделать такую проверку.

Есть у меня такая идея для групп пользователей, которые объединены с
помощью Интернета.  Каждый участник создаёт UID со своим псевдонимом
(т.е. чем-либо, не похожим на имя.  Например, Ivan Boldyrev на
псевдоним не похож, а вот Todd, Vovka и Kent -- похожи).  Комментарии
на таких UID можно запретить.  Получается, что из имени, комментария и
мыла только мыло несёт осмысленную информацию.  А мыло можно легко
проверить, послав по этому адресу зашифрованное письмо с просьбой
ответить и указать в ответе предварительно сгенерированую случайную
строку, указанную внутри зашифрованного письма.  Или воспользоваться
процедурой, аналогичной процедуре RobotCA.  И если вы теперь подпишите
этот UID, то заявите, что по указанному адресу действительно
используют тот ключ.  UID Igor Didkovsky <***@mail.ru> я не стал бы
подписывать, поскольку не знаю, является ли владелец ключа Игорем
Дидковским, но вот Igor <***@mail.ru> можно было бы и подписать после
проверки адреса, поскольку тут уже не важно, является ли этот человек
Игорем -- фамилии-то всё равно нет...  Неплохо бы к такой подписи и
соответствующий Policy URL добавлять...

Это всё, конечно, только предварительная схема...  Нужно её
дополнительно проанализировать.

> и как вы информируете других где ваш ключ расположен в сети?

См. выше.

> Пора, хоть негласно, консолидировать сообщество русскоязычных
> пользователей в этом вопросе.

Не стоит ограничиваться русскоязычными пользователями.  Нужно мыслить
глобальнее, Игорь :)  OpenPGP -- международный формат, используемый во
всём мире.

-- 
Ivan Boldyrev

                                        Жизнь?  Не говорите мне о жизни!
-------------- next part --------------
A non-text attachment was scrubbed...
Name: отсутствует
Type: application/pgp-signature
Size: 188 bytes
Desc: отсутствует
Url : /pipermail/attachments/20040506/d2fa03f7/attachment.bin