[gnupg-ru] Стандарты интернет-общения с PGP/GnuPG

[Ivan Boldyrev]

On 8737 day of my life Igor Didkovsky wrote:
>> sign - для окончательной подписи, которую планируется (возможно, но
>> не обязательно) отдать в общий доступ или отдать подписанту для
>> импортирования.

>> lsign - подписать локально, т.е. только для себя.  Эта подпись не
>> экспортируется и не отсылается на сервер, но всегда имеет Полное
>> доверие, что не всегда удобно.
>
> Значит когда я доверяю ключу - эти данные выкладываются на сервер?

Ну вот скажи, с чего ты это взял?  Объясни свой ход мыслей.  Выше
этого нигде не написано.

> А если я передумаю этому человеку доверять?  Мой ключ на сервере
> обновится, а у этого человека останется прежним и соответственно его
> зашифрованные письма впоследствии я не смогу прочитать?  Или я
> что-то путаю?

Подпись и доверие -- две большие разницы.  Когда ты ставишь подпись
(нелокальную), ты заявляешь примерно следующее: "Я проверил пасспорт
этого человека, проверил его почтовый адрес.  И указаный ключ
действительно принадлежит этому лицу".  Такая подпись остаётся на
ключе этого человека.  Подпись можно потом и отозвать, если что...

Доверие -- это твоё личное дело, доверие вместе с ключом не
экспортируется.  В том же GPG информация о доверии храниться в
отдельном файле и экспортируется/импортируется специальными командами.

Доверять или не доверять подписям конкретного человека ты решаешь
только сам.  Это полностью твой личный выбор.  И эта информация не
содержится в ключах и не импортируется/экспортируется вместе с ними.

Высокий уровень доверия означает, что ты считаешь этого человека
надёжным (в плане подписывания ключей), что он не будет подписывать
первый попавшийся ключ...

Можно подписать ключ конкретного человека, проверив его
соответствующим образом.  Но доверять ему при этом не обязательно.
Хотя ставить высокий уровень доверия ключу, принадлежность которого
неизвестна, небезопасно.

Локальная подпись на ключе означает, что эта подпись не будет
экспортироваться вместе с ключом.  То есть она останется только в
твоей связке.  Для таких подписей ты сам решаешь, по какому принципу
их ставить.

Примечание: выше слово "подпись" означает "подпись на ключе", а не
подпись, к примеру, файла или почтового сообщения.  Это немного разные
вещи :)

Когда ты ставишь подпись на ключе человека A, то к его ключу (и только
к нему) добавляется дополнительная информация о твоей подписи.  По
формату она похожа на любое подписанное сообщение.

Подписи не влияют на возможность зашифровывать/расшифровывать.  Разве
что GPG переспросит, действительно ли зашифровывать с помощью ключа,
точная принадлежность когорого неизвестна.  Но если ты ответишь "да",
результирующий файл не будет зависеть от того, был ли пописан ключ или
нет.

-- 
Ivan Boldyrev

      "Сборка японского велосипеда требует величайшего спокойствия духа."
-------------- next part --------------
A non-text attachment was scrubbed...
Name: отсутствует
Type: application/pgp-signature
Size: 188 bytes
Desc: отсутствует
Url : /pipermail/attachments/20040508/2ac28c25/attachment-0001.bin