Estoy leyendo el pre-pre-tutorial de GPG enhttps://riseup.net/de/security/message-security/openpgp/best-practices. Al hacer clic en un enlace a un .pemarchivo en sks-keyservers.net en Firefox, se abre una ventana que me pregunta si quiero confiar en esto como una nueva autoridad de certificación.
P1: La ventana que me permite inspeccionar el certificado de esta CA muestra:
Could not verify this certificate because the issuer is unknown.
¿Podemos decir "por supuesto", ya que no hay (de hecho debería haber) nadie más en un nivel jerárquico superior al de una CA? ¿O tengo un modelo mental equivocado de certificación como una pirámide con una sola autoridad central?
P2: ¿Cómo debo proceder en caso de duda? En mi opinión, sks-keyserver.net parece la madre misma de la red de confianza GPG: ¿por qué no está preinstalada en Mozilla?
P3: ¿Siempre hay una sola CA activa cuando se utiliza GPG? ¿Necesito cambiar manualmente?
Respuesta1
¿Podemos decir "por supuesto", ya que no hay (de hecho debería haber) nadie más en un nivel jerárquico superior al de una CA?
No claro que no. Si ese fuera el único problema, Firefox ni siquiera preguntaría: el certificado ya dice que es una CA. En cambio, lo que te pregunta es:
Confiasesta CA específicaser una CA? Cualquiera puede crear su propia autoridad de certificación; esto no significa que vayan a hacer un buen trabajo al respecto. (Muchas CA grandes y "confiables" se han estropeado). ¿Confía en que el operador del grupo SKS no emitirá certificados falsos y protegerá la clave de CA contra el robo?
¿Estás seguro de que tienesel certificado correctopara esta CA? Cualquiera puede crear su propio certificado con cualquier nombre; si está a punto de marcarlo como confiable, será mejor que se asegure de que sea el verdadero "SKS CA" y no una imitación barata de "SKS CA", como podría parecer. idéntico excepto por el valor de 'huella digital'.TúTenemos que verificar esto porque, de hecho, no existe una CA superior que verifique una CA raíz.
(Básicamente, aparece este cuadro de diálogo porque, en lo que respecta a su sistema, se encuentra en un nivel jerárquico más alto que todas las CA).
¿O tengo un modelo mental equivocado de certificación como una pirámide con una sola autoridad central?
Esoerael modelo original que se utilizará para S/MIME (y más tarde HTTPS) en la década de 1990, con RSADSI como autoridad central. Sin embargo, el monopolio no duró mucho: finalmente se convirtió en una lista de varias autoridades de certificación competidoras. (Ahora se lo conoce como el sistema "WebPKI" y tiene varias docenas de CA sin contar a los revendedores).
Más importante aún, es todo lo contrario de PGP. HayNoautoridades centrales para las claves PGP: originalmente estaba destinado a ser una "red de confianza".La CA que está a punto de instalar no desempeña ningún papel en la verificación de la clave PGP.
En su lugar, comienza verificando algunas claves PGP usted mismo (por ejemplo, las de sus amigos) y puede marcar a esas personas como autoridades. No existe una lista predefinida de CA que verificarían a todos.
En mi opinión, sks-keyserver.net parece la madre misma de la red de confianza GPG: ¿por qué no está preinstalada en Mozilla?
Por un lado, como se acaba de mencionar anteriormente, SKS CA no tiene nada que ver con la red de confianza de PGP. No emite certificados a personas, sólo a servidores de claves. Por lo tanto, solo se usa para comunicarse de forma privada con los servidores de claves a través de HTTPS, pero si usa HTTPS o no, realmente no afecta a PGP.
Y Mozilla no trata de ninguna manera con la red de confianza PGP. HTTPS (TLS), tal como lo utilizan los sitios web públicos, es completamente independiente: utiliza la red de confianza "WebPKI".
El operador del grupo SKS decidió ejecutar su propia CA en lugar de depender de las CA WebPKI, lo que supongo se debe en parte a la desconfianza en el sistema de CA en general, y en parte porque el grupo opera de una manera que dificulta el uso de las CA comerciales (todos los grupos El servidor utiliza un único certificado con dos nombres de dominio).
Debido a que SKS CA fue creado para un propósito especial y no emite certificados para el público en general, de todos modos no sería adecuado para la lista de confianza de Mozilla.
Todo lo anterior lleva al último punto:En realidad, no debe instalar este certificado en un navegador web ni acceder a los servidores de claves a través de un navegador.Seguropoderhágalo ya que la mayoría de ellos ofrecen una interfaz web, pero los servidores de claves están destinados principalmente a ser utilizados por el propio GnuPG; se supone que debe descargar ese archivo .crt y configurarlo en GnuPG.
En realidad, esto limita cuánto necesita "confiar" en él; ya que no es necesario que esté instalado en su navegador web, eso significa que no puede afectar su navegación diaria de ninguna manera; sólo puede afectar al software GnuPG.
(Y SKS CA en realidad viene preinstalado y preconfigurado con todas las versiones más recientes de GnuPG. Cualquier tutorial que esté leyendo está bastante desactualizado).
P3: ¿Siempre hay una sola CA activa cuando se utiliza GPG? ¿Necesito cambiar manualmente?
PGP no utiliza ninguna CA X.509 para su funcionalidad principal. (El único propósito de SKS CA es comunicarse con los servidores de claves de forma privada). Las claves PGP son verificadas por otras claves PGP, por lo que permite múltiples "CA" por diseño.
Para la comunicación HTTPS del servidor de claves, GnuPG admite múltiples CA, solo es necesario que todas estén en el mismo archivo. Pero no necesitará cambiarlos hasta que cambie la dirección del servidor de claves.
Los navegadores web ya utilizan varias CA para HTTPS.