[gnupg-ru] Стандарты интернет-общения с PGP/GnuPG

Пт Май 7 06:18:43 CEST 2004

On Thu, 06 May 2004 13:53:17 +0700
Ivan Boldyrev <boldyrev на uiggm.nsc.ru> wrote:

> > А как его лучше импортировать? Все вокруг да около консоли и разных
> > серверов ключей. Вот если бы каждый пользователь PGP взял за правило
> > указывать расположение своего ключа в Интернет... 
> 
> У меня в заголовках каждого отправляемого сообщения содержатся
> следующие строки:
> 
> X-PGP-KeyID: 0xE2B9AC8FAE956E17 (1024D)
> X-PGP-Fingerprint: A645 1AA1 920B 88FF B4C0  E32C E2B9 AC8F AE95 6E17
> X-Request-PGP: hkp://sks.keyserver.penguin.de

За этот совет спасибо :) А что теперь будет в Sylpheed или любом другом
почтовике с поддержкой GnuPG если я правильно укажу все эти параметры?

> Кроме того, многие импортировали свои ключи на кейсерверы, и в
> общем-то можно воспользоваться любым неглючным сервером.  Ситуацию
> осложняют подписи подключами, но SKS-сервера умеют искать и по
> подключам.

Где-то видел как с консоли импортируют ключ с keyserver.net. 
Не могу найти... Чего-то надо указать перед .keyserver.net, или в
X-Request-PGP есть свои правила?

> Для начала нужно убедить, что ключ действительно принадлежит тебе, а
> не кому-то другому.  Я знаю два способа решения этой проблемы: Web of
> Trust (используемая в OpenPGP) и система с центром, выдающим
> сертификаты (вроде VeriSign).

Ну это если "совершенно секретно", как правило перед этапом шифрования
идет обмен подписанными сообщениями (если изначально ясно что ты пишешь
тому кому надо).

> А насчёт скачанного (откуда угодно) ключа нельзя сказать ничего
> определённого.  Куда бы пользователь его не выложил.  В этом смысле
> кейсервер почти ничем не отличается от домашней страницы.

Это и есть склад ключей, возможно и поддельных.

> Некоторые группы пользователей создали достаточно сильную Web of
> Trust, например, разработчики Debian.  ИМХО, PGP удобнее как раз для
> аутентификации внутри подобных групп, а не для аутентификации всему
> миру, как это сделано в S/MIME.  Хотя с другой стороны, и для ключей
> OpenPGP можно создать сертифицирующий центр (весьма своеобразным
> примером служит http://www.toehold.com/robotca/), но пользователи не
> будут по умолчанию ему доверять.

Какие тут еще подделки :)

> Либо ключ мне передают лично, либо я импортирую его с того же
> hkp://sks.keyserver.penguin.de.  Естественно, подпись я ставлю только
> в первом случае.  Во втором случае я иногда позволяю себе делать
> локальную подпись.   В принципе, и на импортированном ключе я мог бы
> поставить подпись после соотв. проверки, но пока у меня не было
> возможности сделать такую проверку.

sign ?

> Есть у меня такая идея для групп пользователей, которые объединены с
> помощью Интернета.  Каждый участник создаёт UID со своим псевдонимом
> (т.е. чем-либо, не похожим на имя.  Например, Ivan Boldyrev на
> псевдоним не похож, а вот Todd, Vovka и Kent -- похожи).  Комментарии
> на таких UID можно запретить.  Получается, что из имени, комментария и
> мыла только мыло несёт осмысленную информацию.  А мыло можно легко
> проверить, послав по этому адресу зашифрованное письмо с просьбой
> ответить и указать в ответе предварительно сгенерированую случайную
> строку, указанную внутри зашифрованного письма.  Или воспользоваться
> процедурой, аналогичной процедуре RobotCA.  И если вы теперь подпишите
> этот UID, то заявите, что по указанному адресу действительно
> используют тот ключ.  UID Igor Didkovsky <***@mail.ru> я не стал бы
> подписывать, поскольку не знаю, является ли владелец ключа Игорем
> Дидковским, но вот Igor <***@mail.ru> можно было бы и подписать после
> проверки адреса, поскольку тут уже не важно, является ли этот человек
> Игорем -- фамилии-то всё равно нет...  Неплохо бы к такой подписи и
> соответствующий Policy URL добавлять...
> Это всё, конечно, только предварительная схема...  Нужно её
> дополнительно проанализировать.

А не проще завести для сервера группы рассылки свой ключь? Принимать
только сообщения от зарегистрированных(доверенных) подписчиков и
в дальнейшем рассылать пришедший и вторично подписанный сервером группы
текст каждому подписчику в отдельности? Или я чего-то упустил ? 

> 
> > и как вы информируете других где ваш ключ расположен в сети?
> 
> См. выше.
> 
> > Пора, хоть негласно, консолидировать сообщество русскоязычных
> > пользователей в этом вопросе.
> 
> Не стоит ограничиваться русскоязычными пользователями.  Нужно мыслить
> глобальнее, Игорь :)  OpenPGP -- международный формат, используемый во
> всём мире.

Ну переписываемся мы по-русски. Кто-то вообще не в курсе о новом
стандарте подписи и продолжает слать inline (уродство редкостное,
особенно если у тебя не настроен на него почтовик).

-- 
Best regards,
Igor Didkovsky

ICQ: 121701104
PGPKEY: keyserver.net
WEB: http://langos.lrn.ru/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: отсутствует
Type: application/pgp-signature
Size: 189 bytes
Desc: отсутствует
Url : /pipermail/attachments/20040507/342a57a5/attachment-0001.bin