23.12.2011

Социалните импликации Keysigning

* Source text URL: http://attrition.org/security/rant/z/keysigning.html


Raven&Jericho

Въведение

Използването на силно общодостъпно шифроване винаги е било попълярно сред фанати. Възможно, обикновено използване и най-любимото шифроване за електронно писмо – Pretty Good Privacy (PGP). Пуснат като свободен метод за защита на електронни писма и другата уязвима информация, той се превърнал в крайъгълен камък за голяма компания. Тъй като PGP е станал по-коропративен, скъпоструващ и използвал запатентовани алгоритми, другия проект, GnuPG е възникнал за да продължава да предлага устойчиво шифроване за маси.

Една основа на надеждното шифроване е доверителна. Използване на шифроване между двама или повече човека се полага на явление на доверието, че съобщение, който е изпратено, бе зашифровано както трябва и може ба бъде дешифрирано изключително от предполагаем получателя. При използване на ключа GPG човек човек трябва да бъде сигурен че ключ бе създаден изключително за него и принадлежа изключително на него. В противен случай, можете да изпратите поща, която човек не успя да прочете (ако той няма ключ към зашифровано) или, по-лошо, кой някоя друга сторона успя да прочете (ако тя наистина има ключ за зашифровано).

Фон

При обмена на ключове за шифроване, установяване на идентификационните данни или проверка на доверие има многократни достъпни методи. За случаен разговор със приятел, който има ICQ и ID AIM, това може да бъде толкова лесно, както използване на вътрешната шега, която само двама от вас ще разберат. Ако линия на връзка по-серйозна, тогава телефонно повикване, факс или обикновена поща може да се използва, за да проверя, че изпращач е той, за когото се представя. Другия метод, разработен за да помогна да установя доверие за ключове на широване и идентификационните дани, е известен като keysigning. Цитиране на ПРАКТИЧЕСКИХ РЕКОМЕНДАЦИЙ GnuPGKeysigningParty:

1.2 Какво е keysigning?

Keysigning е действие за снабдяване с цифрова подпис на открития ключ и свързан идентификатор на този ключ или открит ключ на другия обект и свързан пакет с открития ключ. Keysigning е разработен за да проверява, че данния идентификатор на ползвателя и открития ключ наистина принадлежат на обекта, който притежава ключ и представлява пакет на идентификатора на ползвателя.
Можете да снабдите с цифрова подпис собственния открит ключ и свързан идентификатор на този ключ, или открит ключ на другия обкт и свързан пакет с открит ключ.
По някакъв начин ключове проверяват открите ключове.
В последните години keysigning компании са стали по-популярни. Много съглашения на безопасността са разместили keysigning компании, които позволяват на се събира заедно, проверява идентификационните дани и подписва ключове един друг на място. Съглашения, като BlackHatBriefings и Defcon все още разместяват такви събирания, в то време конференции като Usenix няма да предлагат повече keysigning услуги. В то време как коференции на Usinex все още предлагат keysigning сеанси, то техния избор да отхвърля този действие се намира в стадий на технически и организаторски решения, и това не са причини, обрисувани в настоящата статия.

ok ok