it-swarm-eu.dev

Co znamená podpis klíče?

Co přesně znamená „podpis klíče“?

Mám například soukromý/veřejný klíč GPG, aby mi lidé mohli posílat šifrovaný e-mail, protože znají můj veřejný klíč. Co však v tomto příkladu znamená podpis klíče? Například: „třetí osoba podepisuje můj veřejný klíč (jak?).“

A nejdůležitější: Kde mohou ostatní lidé vidět, že můj klíč je podepsán ostatními?

35
LanceBaynes

OK, jak říkáte, máte soukromý/veřejný párový klíč, takže vám mohu poslat šifrovaný e-mail, protože znám váš veřejný klíč.

Ale jak znám svůj veřejný klíč? Samozřejmě, protože jste mi řekl, co to je, a pokud jste mi řekl přes zabezpečený kanál - například jste to napsali na kus papíru a podali mi jej soukromě - pak je to v pořádku.

Ale pokud jste mi to zaslali e-mailem přes nezabezpečený kanál, jak zjistím, že Eva neodešla váš e-mail a nenahradila váš klíč jejím? Pak mohla Eva přečíst můj zašifrovaný e-mail, protože jsem ho zašifroval klíčem její.

To je skutečný problém, protože pokud máme internet pouze jako náš komunikační kanál, pak už z definice není bezpečné používat pro výměnu klíčů. Nemůže to být protože jsme si zatím nevyměnili klíče.

Jedním ze způsobů, jak to obejít, je zapojit třetí stranu, které oba důvěřujeme. Říkejme mu Bob.

Bob má hodně zabezpečených kanálů pro lidi. Jeden má pro mě, a tak znám jeho veřejný klíč. Má pro vás jeden a Bob zná váš veřejný klíč.

Bob může udělat svůj veřejný klíč a pomocí jeho soukromého klíče zašifrovat zprávu „Lanceův veřejný klíč je 18348273847473436“. Poté vám zašle tuto zašifrovanou zprávu. Bob podepsal váš klíč.

Nyní, pokud mi chcete poslat svůj veřejný klíč, pošlete mi podepsaný klíč přes nezabezpečený kanál. Vím, že to přišlo od vás, ne Evy, protože to dokážu dešifrovat Bobovým veřejným klíčem a věřím Bobovi.

Takže jsme změnili problém „Graham a Lance potřebují bezpečný kanál mezi nimi“ na problém „Graham potřebuje zabezpečený kanál k Bobovi“ a „Lance potřebuje zabezpečený kanál k Bobovi“.

Nezní to, jako bychom to vylepšili, dokud si neuvědomíte, že nyní místo obav o zajištění zabezpečených kanálů D.W. a Lucas a Schroeder a Thomas a Rory a Graham a všichni ostatní na internetu, stačí se jednou starat o získání bezpečného kanálu pro Boba.

38
Graham Hill

V PGP se podepisování klíčů týká skutečnosti, že to, co se často nazývá PGP (veřejné) klíče, nejsou jen veřejné klíče, ale certifikáty.

Certifikát veřejného klíče je podepsaná kombinace veřejného klíče, identifikátorů (a případně dalších atributů). Ti, kteří podepíší tento dokument, účinně uplatňují pravost vazby mezi veřejným klíčem a identifikátorem, stejně jako orgán vydávající cestovní pas potvrzuje vazbu mezi obrázkem a jménem v cestovním pasu.

Certifikáty X.509 jsou jeden typ certifikátu, nejčastěji používané pro komunikaci SSL/TLS. Mohou mít pouze jeden podpis, což vede k hierarchické infrastruktuře veřejných klíčů.

Naproti tomu PGP certifikáty mohou mít více podpisů. Řada jednotlivců mohla skutečně ručit za vazbu mezi veřejným klíčem a identitou uvedenou v certifikátu PGP. Tyto vícenásobné podpisy umožňují vytvářet model důvěryhodnosti certifikátu Web-of-Trust, takže se nemusíte spoléhat na jedinou hierarchii, abyste mohli navázat důvěru v certifikát.

Když podepíšete klíč PGP (přesněji klíč a jeho přidružený identifikátor), vložíte svůj identifikátor a podpis do seznamu lidí, kteří za to ručí. S tím je spojena určitá odpovědnost, protože musíte důvěřovat, že toto přidružení je správné jinými prostředky (např. Prohlížením oficiální formy ID).

Aby ostatní lidé viděli, že váš klíč byl podepsán jinými uživateli, můžete mu poskytnout aktualizované verze sami (nevhodné) nebo jej publikovat na serveru pro distribuci klíčů. Lidé, kteří jsou ochotni použít váš klíč, by si aktualizovanou verzi vyzvedli s novými podpisy jeden po druhém (nebo když je potřebují použít a ověřit).

8
Bruno

SIgning klíč je účinným způsobem, jak můžete věřit, že klíč je správný a spojený s konkrétním jednotlivcem nebo identito (díky @ Bruno). Lidé, kteří vám důvěřují, se mohou rozhodnout důvěřovat na základě skutečnosti, že jste ji podepsali.

Podepisování znamená, že digitálně podepisujete certifikát klíče. Nepotřebujete to, ale uvidíte například s PGP, že s každým klíčem na klíčence je přiřazena hodnota důvěryhodnosti. Podpisem klíče můžete posunout indikátor důvěryhodnosti výše.

Například pro PGP, když jste podepsali klíč, můžete jej nahrát do jednoho ze svých obchodů s klíči pgp, aby ho ostatní mohli vidět. Nebo si vyměníte klíče na párty podepisující klíče nebo osobně.

7
Rory Alsop

šifrování veřejného klíče soukromým klíčem se nazývá „Podepisování klíče“

4
KawaiKx

Podepisování klíčů v systémech veřejných klíčů je matematické tvrzení, že existuje vztah mezi klíčem (svazek čísel v určité posloupnosti) a subjektem (osoba nebo hlavní identita). Podepisování klíče vytváří nebo posiluje důvěru v toto tvrzení a tím i platnost klíče pro nějaký účel.

V hierarchických systémech (např. X.509) musí být klíč podepsán autoritou vyšší ve stromu, aby byl považován za důvěryhodný. V systémech důvěryhodnosti webů (např. Klasický PGP) podepisují uživatelé a skupiny klíče, aby prokázali, že důvěřují identitě, která je spojena s klíči. V hierarchii je za podpis (a vydávání) klíčů obvykle zodpovědný konkrétní orgán. Ve webové infrastruktuře veřejných klíčů (PKI) můžete také použít nezávislé notáře.

Klíčové strany podepisování umožňují, aby mnoho lidí a několik notářů shromažďovalo a rychle shromažďovalo více tvrzení (podpisů) od jiných lidí. To posiluje web a umožňuje uživatelům rychle získat body, které mohou potřebovat v systémech jako Thawte nebo CACert, aby se stali notáři nebo odemykali výhody.

3
adric

Řekněme, že Alice, Bob a Charlie používají PGP/GPG, takže každý vygeneruje klíčenku, pokud by Alice měla poslat Bobovi zprávu, jak Bob ví, že byla ve skutečnosti podepsána s Alice klíčem, může to být klíč, který právě vytvořil útočník a nastavení v Alice jméno. Nyní můžeme říci, že Charlie se setkal s Alice a Bobem v různých časech, a Charlie podepsal Alice klíč a Alice podepsal Charliesův klíč a totéž mezi Bobem a Charlie. Nyní Bob dostane Alice zprávu a říká: Ó, Charlie podepsal tento klíč a věřím Charlie, proto věřím, že tato zpráva je skutečně od Alice.

Nyní je skutečná metoda použitá k podpisu stejná jako metoda použitá k podepsání jakékoli zprávy (zprávou v tomto případě je veřejný klíč a některá z jeho metadat) a obvykle jeden nahraje veřejné klíče na klíčový server, kde jiní připojí své podpisy.

0
ewanm89