私はGPGの事前チュートリアルを読んでいますhttps://riseup.net/de/security/message-security/openpgp/best-practicesFirefox で sks-keyservers.net のファイルへのリンクをクリックすると.pem、これを新しい証明機関として信頼するかどうかを尋ねるウィンドウが開きます。
Q1: この CA の証明書を検査できるウィンドウが表示されます:
Could not verify this certificate because the issuer is unknown.
CA より上位の階層レベルには誰もいない (実際、そうあるべき) ので、「もちろん」と言えるのでしょうか。それとも、認証を 1 つの中央機関のみを持つピラミッドとして捉えるという私のメンタル モデルは間違っているのでしょうか。
Q2: 疑問がある場合はどうすればいいですか? 私の意見では、sks-keyserver.net は GPG 信頼ネットワークのまさに母体のようなのですが、なぜそれが Mozilla にプリインストールされていないのでしょうか?
Q3: GPG を使用する場合、アクティブな CA は常に 1 つだけですか? 手動で切り替える必要がありますか?
答え1
CA より上位の階層レベルには誰もいない (実際、そうあるべき) ので、「もちろん」と言えるのでしょうか?
いいえ、もちろん違います。それが唯一の問題であれば、Firefox は尋ねません。証明書にすでに CA と記載されているからです。代わりに、Firefox が尋ねているのは次の点です。
信頼しますかこの特定のCACA になるには? 誰でも独自の認証局を作ることができますが、だからといってうまく機能するとは限りません。(大規模で「信頼できる」CA の多くが失敗しています。)SKS プール オペレータが偽の証明書を発行せず、CA キーが盗まれないように保護してくれると信頼できますか?
本当に正しい証明書この CA の証明書は、誰でも任意の名前で作成できます。信頼できる証明書としてマークする場合は、それが本物の「SKS CA」であり、安っぽい模造品の「SKS CA」ではないことを確認する必要があります。「フィンガープリント」値以外は同一に見える可能性があるからです。あなた実際にはルート CA を検証する上位 CA が存在しないため、これを検証する必要があります。
(基本的に、このダイアログ ボックスが表示されるのは、システムの観点からすると、すべての CA よりも高い階層レベルにいるためです。)
それとも、認証をピラミッド型の中央機関のみで構成するという間違ったメンタルモデルを持っているのでしょうか?
それだった1990 年代に S/MIME (および後に HTTPS) に使用された最初のモデルで、RSADSI が中央機関でした。しかし、独占は長くは続かず、最終的には複数の競合する認証局のリストになりました。(現在では「WebPKI」システムとして知られ、再販業者を除いて数十の CA があります。)
さらに重要なのは、PGPとは全く逆のものだということです。いいえPGP キーの中央管理機関 - もともとは「信頼のウェブ」となることを意図していました。インストールしようとしている CA は、PGP キーの検証には関与しません。
代わりに、まず自分自身でいくつかの PGP キー (たとえば、友達のキー) を検証し、それらの人を認証機関としてマークすることができます。すべての人を検証する CA の事前定義されたリストはありません。
私の意見では、sks-keyserver.net は GPG 信頼ネットワークのまさに母体のような気がします。なぜそれが Mozilla にプリインストールされていないのでしょうか?
まず、上で述べたように、SKS CA は PGP 信頼ネットワークとはまったく関係がありません。SKS CA は人々に証明書を発行せず、キーサーバーにのみ発行します。したがって、HTTPS 経由でキーサーバーとプライベートに通信するためにのみ使用されますが、HTTPS を使用するかどうかは PGP に実際には影響しません。
また、Mozilla は PGP 信頼ネットワークを一切扱いません。公開 Web サイトで使用される HTTPS (TLS) は完全に別物であり、「WebPKI」信頼ネットワークを使用します。
SKS プールの運営者は、WebPKI CA に頼るのではなく、独自の CA を実行することを決定しました。これは、CA システム全般に対する不信感と、プールの運用方法が商用 CA の使用を困難にしている (すべてのプール サーバーが 2 つのドメイン名を持つ単一の証明書を使用している) ことが原因であると考えられます。
SKS CA は特別な目的のために構築されており、一般向けに証明書を発行しないため、いずれにしても Mozilla の信頼リストには適していません。
上記のすべてをまとめると、最後のポイントは次のようになります。実際には、この証明書を Web ブラウザにインストールしたり、ブラウザ経由でキーサーバーにアクセスしたりする必要はありません。必ずできるほとんどのキーサーバーは Web インターフェイスを提供しているので、これを実行してください。ただし、キーサーバーは主に GnuPG 自体によって使用されることを目的としており、.crt ファイルをダウンロードして GnuPG で構成する必要があります。
これは、実際に「信頼」する必要がある程度を制限します。Web ブラウザーにインストールする必要がないため、日常のブラウジングにはまったく影響せず、GnuPG ソフトウェアにのみ影響します。
(そして、SKS CA は実際にはすべての最新の GnuPG バージョンがプリインストールされ、プリ設定された状態で出荷されます。あなたが読んでいるチュートリアルはどれもかなり古くなっています。)
Q3: GPG を使用する場合、アクティブな CA は常に 1 つだけですか? 手動で切り替える必要がありますか?
PGP は、そのコア機能に X.509 CA をまったく使用しません。(SKS CA の唯一の目的は、キーサーバーと非公開で通信することです。) PGP キーは他の PGP キーによって検証されるため、設計上、複数の「CA」が許可されます。
キーサーバーの HTTPS 通信では、GnuPG は複数の CA をサポートします。それらはすべて同じファイルに存在する必要があります。ただし、キーサーバーのアドレス自体を変更するまでは、それらを変更する必要はありません。
Web ブラウザはすでに HTTPS に複数の CA を使用しています。