it-swarm.dev

Cosa significa firma chiave?

Cosa significa esattamente "firma chiave"?

Quindi ad esempio ho una chiave GPG privata/pubblica in modo che le persone possano inviarmi e-mail crittografate, perché conoscono la mia chiave pubblica. Ma: cosa significa la firma chiave in questo esempio? Ad esempio: "una terza persona firma la mia chiave pubblica (come?)."

E il più importante: dove possono gli altri vedere che la mia chiave è firmata da altri?

35
LanceBaynes

OK, come dici tu, hai una chiave di coppia pubblica/privata in modo che io possa inviarti e-mail crittografata, perché conosco la tua chiave pubblica.

Ma come conosco la tua chiave pubblica? Ovviamente, perché mi hai detto di cosa si trattava e se mi dicevi su un canale sicuro, ad esempio, l'hai scritto su un pezzo di carta e me lo hai consegnato in privato, allora va bene.

Ma se me lo hai inviato per e-mail su un canale insicuro, come posso sapere che Eva non ha intercettato la tua e-mail e sostituito la tua chiave con la sua? Quindi Eva potrebbe leggere la mia e-mail crittografata, perché l'avrei crittografata con la chiave her.

Questo è un vero problema perché se abbiamo solo Internet come nostro canale di comunicazione, per definizione non è sicuro da usare per lo scambio di chiavi. Non può essere, perché non abbiamo ancora scambiato le chiavi.

Un modo per aggirare questo problema è coinvolgere una terza parte di cui entrambi ci fidiamo. Chiamiamolo Bob.

Bob ha molti canali sicuri per le persone. Ne ha uno per me e quindi conosco la sua chiave pubblica. Ne ha uno per te e Bob conosce la tua chiave pubblica.

Quello che Bob può fare è prendere la tua chiave pubblica e crittografare il messaggio "La chiave pubblica di Lance è 18348273847473436" con la sua chiave privata. Ti dà quindi quel messaggio crittografato. Bob ha firmato la tua chiave.

Ora, se vuoi inviarmi la tua chiave pubblica, devi semplicemente inviarmi la chiave firmata sul canale non sicuro. So che è venuto da te, non da Eva, perché posso decifrarlo con la chiave pubblica di Bob e mi fido di Bob.

Quindi, abbiamo trasformato il problema di "Graham e Lance hanno bisogno di un canale sicuro tra loro" nel problema di "Graham ha bisogno di un canale sicuro per Bob" e "Lance ha bisogno di un canale sicuro per Bob".

Non sembra che abbiamo migliorato le cose, finché non ti rendi conto che ora invece di preoccuparti di organizzare canali sicuri per D.W. e Lucas e Schroeder e Thomas e Rory e Graham e tutti gli altri su Internet, devi solo preoccuparti di ottenere un canale sicuro per Bob, una volta.

38
Graham Hill

In PGP, la firma delle chiavi si riferisce al fatto che le cosiddette chiavi PGP (pubbliche) non sono solo chiavi pubbliche, ma certificati.

Un certificato di chiave pubblica è la combinazione firmata tra una chiave pubblica, identificatori (e possibilmente altri attributi). Coloro che firmano questo documento affermano effettivamente l'autenticità del legame tra la chiave pubblica e l'identificatore, allo stesso modo in cui un'autorità che rilascia il passaporto afferma il legame tra l'immagine e il nome in un passaporto.

I certificati X.509 sono un tipo di certificato, quelli più comunemente utilizzati per le comunicazioni SSL/TLS. Possono avere solo una firma, che porta a una infrastruttura a chiave pubblica gerarchica.

Al contrario, certificati PGP possono avere più firme. Numerose persone potrebbero effettivamente garantire l'associazione tra la chiave pubblica e l'identità a cui si fa riferimento nel certificato PGP. Queste firme multiple consentono di creare un modello Web of Trust, in modo da non dover fare affidamento su una singola gerarchia per stabilire la fiducia in un certificato.

Quando si firma una chiave PGP (più precisamente, la chiave e l'identificatore associato), si inserisce l'identificatore e la firma nell'elenco di persone che lo garantiscono. C'è una certa responsabilità associata a questo, perché devi fidarti che questa associazione è corretta con altri mezzi (ad es. Guardando una forma ufficiale di identità).

Affinché altre persone possano vedere che la tua chiave è stata firmata da altri, puoi darla da sola (in modo scomodo) o pubblicarla su un server di distribuzione delle chiavi. Le persone disposte a utilizzare la chiave recuperano la versione aggiornata con nuove firme una alla volta (o quando devono usarla e verificarla).

8
Bruno

Ottenere una chiave è effettivamente un modo per dire che ti fidi che la chiave sia corretta e associata a un individuo o identità particolare (grazie a @Bruno). Le persone che si fidano di te possono quindi scegliere di fidarsi di esso in base al fatto che lo hai firmato.

Firma significa firmare digitalmente il certificato chiave. Non ti serve, ma ad esempio con PGP vedrai che ad ogni chiave del tuo portachiavi è associato un valore di affidabilità. La firma della chiave consente di spostare l'indicatore di fiducia più in alto.

Per PGP, ad esempio, quando hai firmato la chiave, puoi caricarla in uno dei loro archivi di chiavi pgp in modo che altri possano vederla. Oppure si scambiano le chiavi a una persona che firma le chiavi o di persona.

7
Rory Alsop

la crittografia di una chiave pubblica con una chiave privata è denominata "Firma di una chiave"

4
KawaiKx

La firma della chiave nei sistemi di chiave pubblica è un'affermazione matematica che esiste una relazione tra la chiave (un gruppo di numeri in una certa sequenza) e il soggetto (una persona o identità principale). La firma della chiave stabilisce o rafforza la fiducia in tale affermazione e quindi la validità di una chiave per qualche scopo.

Nei sistemi gerarchici (ad es. X.509) una chiave deve essere firmata da un'autorità superiore nella struttura per essere considerata attendibile. Nei sistemi web-of-trust (es. PGP classico) gli utenti e i gruppi firmano le chiavi per dimostrare di ritenere che l'identità sia associata alle chiavi. In una gerarchia, un'autorità specifica è generalmente responsabile della firma (e dell'emissione) delle chiavi. Nell'infrastruttura a chiave pubblica (PKI) basata sul Web è inoltre possibile utilizzare notai indipendenti.

Le parti firmatarie chiave consentono a molte persone e pochi notai di raccogliere e raccogliere rapidamente più asserzioni (firme) da altre persone. Ciò rafforza il Web e consente agli utenti di guadagnare rapidamente punti di cui potrebbero aver bisogno in sistemi come Thawte o CACert per diventare notai o sbloccare vantaggi.

3
adric

Diciamo che Alice, Bob e Charlie usano tutti PGP/GPG, quindi ora generano una coppia di chiavi se Alice dovesse inviare un messaggio a Bob come fa Bob a sapere che in realtà è stato firmato con la chiave di Alice, potrebbe essere una chiave che alcuni attaccanti hanno appena generato e installalo nel nome di Alice. Ora diciamo che Charlie aveva incontrato sia Alice che Bob in momenti separati, e Charlie firmò la chiave di Alice e Alice firmò la chiave di Charlies e lo stesso tra Bob e Charlie. Ora Bob riceve il messaggio di Alice e dice, oh, Charlie ha firmato questa chiave e mi fido di Charlie, quindi credo anche che questo messaggio provenga davvero da Alice.

Ora il metodo effettivo utilizzato per eseguire la firma è lo stesso del metodo utilizzato per firmare qualsiasi messaggio (il messaggio in questo caso è la chiave pubblica e alcuni dei suoi metadati), e di solito uno carica le chiavi pubbliche su un server di chiavi in ​​cui altri allegano il loro firme.

0
ewanm89