我开始使用 GPG 并将我的密钥发送到PGP 全球目录。当我验证了我的电子邮件地址时,他们签署了我的密钥,而我有一个问题。
在一种情况下,我可能并不真正关心密钥所有者的真实身份。因此 PGP 全局目录或类似的签名听起来足够好了。
在其他情况下,真实身份可能对我来说很重要,因此 PGP 全局目录或类似的签名是不够的。
在第一种情况下,我可以完全信任仅验证电子邮件的签名者。在第二种情况下,我不能。
在 GPG 中是否有处理这种情况的好方法?
答案1
OpenPGP 不像 X.509 / S / MIME 那样知道中央证书颁发机构,因此您需要自己在信任网络中找到从您到(可能的)密钥所有者的信任路径。
最简单的方法是直接测试对方密钥的所有权,但这需要与对方见面(以验证其身份)和/或非常了解对方(然后您可以给他打电话,要求他提供指纹,也许问一些只有他才能回答的问题)。最后,你决定如何验证对方的身份和密钥所有权。
如果您不能这样做,请执行以下操作:
- 进入信任网络。签署您自己的密钥,然后签署其他密钥。访问密钥签署方,或者尝试找到(人脉广泛的)OpenPGP 用户,例如。签署密钥的好地方还包括您当地的 Linux/Unix 用户组的聚会和(至少在欧洲)海盗党会议。我还建议您注册证书颁发机构,最初颁发 X.509 密钥,但一路走来,成为 OpenPGP 信任网络中最大的“证书颁发机构”。许多 CAcert 用户也拥有 OpenPGP 密钥,并且在开会寻求 CAcert 保证时很乐意签署您的密钥!
- 验证对方的密钥。如果你能够直接验证对方的密钥(通过某种方式与他见面,如果你不太了解他,可以检查他的身份证,或者按照你的政策),那么你必须找到一个信任路径。这意味着,通过颁发信任,您可以信任另一个人颁发的签名。您可以信任一个好朋友或同事,因为您确信他在签署密钥方面做得很好。如果您同意 CAcert 的做法,那么这是一种为信任网络中的很大一部分颁发信任的好方法(在我看来,他们做得非常好)。
有关信任的更多详细信息,请阅读GnuPG 关于信任的手册页,并且这是我在另一个问题上的回答。