GPG 사전 사전 튜토리얼을 읽고 있습니다.https://riseup.net/de/security/message-security/openpgp/best-practices. Firefox에서 sks-keyservers.net에 있는 파일 링크를 클릭하면 .pem이 파일을 새 인증 기관으로 신뢰할 것인지 묻는 창이 열립니다.
Q1: 이 CA에 대한 인증서를 검사할 수 있는 창에는 다음이 표시됩니다.
Could not verify this certificate because the issuer is unknown.
CA보다 더 높은 계층 구조 수준에 다른 사람이 없기 때문에 "물론"이라고 말할 수 있습니까? 실제로는 그래야 합니다. 아니면 중앙 권한이 하나뿐인 피라미드라는 잘못된 인증 정신 모델을 갖고 있는 걸까요?
Q2: 의심스러운 경우 어떻게 진행합니까? IMO sks-keyserver.net은 GPG 신뢰 네트워크의 어머니처럼 보입니다. 왜 Mozilla에 사전 설치되어 있지 않습니까?
Q3: GPG를 사용할 때 항상 하나의 CA만 활성화됩니까? 수동으로 전환해야 합니까?
답변1
CA보다 더 높은 계층 구조 수준에 다른 사람이 없기 때문에 "물론"이라고 말할 수 있습니까? 실제로는 그래야 합니다.
아니요, 물론 그렇지 않습니다. 그것이 유일한 문제라면 Firefox는 묻지도 않을 것입니다. 인증서에는 이미 CA라고 나와 있습니다. 대신에 묻는 내용은 다음과 같습니다.
당신은 신뢰합니까이 특정 CACA가 되려면? 누구나 자신만의 인증 기관을 만들 수 있습니다. 그렇다고 해서 그 인증 기관을 잘 수행한다는 의미는 아닙니다. (많은 대규모 '신뢰할 수 있는' CA가 손상되었습니다.) SKS 풀 운영자가 허위 인증서를 발급하지 않고 CA 키가 도난당하지 않도록 보호한다고 신뢰하십니까?
확실히 받았나요?올바른 인증서이 CA에 대해? 누구나 어떤 이름이든 자신만의 인증서를 만들 수 있습니다. 신뢰할 수 있는 것으로 표시하려는 경우 겉보기에 값싼 복제품 "SKS CA"가 아닌 실제 "SKS CA"인지 확인하는 것이 좋습니다. '지문' 값만 빼고 동일합니다.너실제로 루트 CA를 확인하는 상위 CA가 없기 때문에 이를 확인해야 합니다.
(기본적으로 시스템이 고려하는 한 모든 CA보다 더 높은 계층 구조 수준에 있기 때문에 이 대화 상자가 표시됩니다.)
아니면 하나의 중앙 권한만 있는 피라미드로서 인증에 대한 잘못된 정신적 모델을 갖고 있는 걸까요?
저것~였다RSADSI를 중앙 기관으로 사용하여 1990년대에 S/MIME(및 이후 HTTPS)에 사용되는 원래 모델입니다. 그러나 독점은 오래 가지 못했습니다. 결국 여러 경쟁 인증 기관의 목록이 되었습니다. (이제는 "WebPKI" 시스템으로 알려져 있으며 리셀러를 제외하고 수십 개의 CA가 있습니다.)
더 중요한 것은 PGP와 완전히 반대라는 것입니다. 있다아니요PGP 키에 대한 중앙 기관 - 원래는 "신뢰의 웹"을 의미했습니다.설치하려는 CA는 PGP 키 확인에 아무런 역할을 하지 않습니다.
대신에 (예를 들어 친구의) 일부 PGP 키를 직접 확인하는 것부터 시작하고 해당 사람들을 권한 있는 사람으로 표시할 수 있습니다. 모든 사람을 확인하는 사전 정의된 CA 목록은 없습니다.
IMO sks-keyserver.net은 GPG 신뢰 네트워크의 어머니처럼 보입니다. 왜 Mozilla에 사전 설치되어 있지 않습니까?
우선 위에서 언급했듯이 SKS CA는 PGP 신뢰 네트워크와 전혀 관련이 없습니다. 인증서는 사람에게 발급되지 않고 키서버에만 발급됩니다. 따라서 HTTPS를 통해 키 서버와 비공개적으로 통신하는 데에만 사용되지만 HTTPS를 사용하는지 여부는 PGP에 실제로 영향을 미치지 않습니다.
그리고 Mozilla는 어떤 방식으로든 PGP 신뢰 네트워크를 다루지 않습니다. 공개 웹사이트에서 사용되는 HTTPS(TLS)는 완전히 별개이며 "WebPKI" 신뢰 네트워크를 사용합니다.
SKS 풀의 운영자는 WebPKI CA에 의존하지 않고 자체 CA를 운영하기로 결정했는데, 이는 부분적으로는 CA 시스템 전반에 대한 불신 때문일 수도 있고, 부분적으로는 풀이 상업용 CA 사용을 어렵게 만드는 방식으로 운영되기 때문일 수도 있습니다(모든 풀 서버는 두 개의 도메인 이름이 포함된 단일 인증서를 사용합니다.
SKS CA는 특별한 목적을 위해 구축되었으며 일반 대중을 위한 인증서를 발급하지 않기 때문에 어쨌든 Mozilla의 신뢰 목록에는 적합하지 않습니다.
위의 모든 내용은 마지막 요점으로 이어집니다.실제로 이 인증서를 웹 브라우저에 설치하거나 실제로 브라우저를 통해 키 서버에 액세스할 의도는 없습니다.물론이죠. 당신은~할 수 있다대부분 웹 인터페이스를 제공하지만 키 서버는 기본적으로 GnuPG 자체에서 사용하도록 되어 있습니다. 해당 .crt 파일을 다운로드하여 GnuPG에서 구성해야 합니다.
이는 실제로 이를 "신뢰"해야 하는 정도를 제한합니다. 이는 웹 브라우저에 설치할 필요가 없기 때문에 일상적인 검색에 어떤 식으로든 영향을 미칠 수 없다는 의미입니다. GnuPG 소프트웨어에만 영향을 미칠 수 있습니다.
(그리고 실제로 SKS CA는 모든 최신 GnuPG 버전으로 사전 설치 및 사전 구성되어 제공됩니다. 읽고 있는 튜토리얼이 무엇이든 꽤 오래된 것입니다.)
Q3: GPG를 사용할 때 항상 하나의 CA만 활성화됩니까? 수동으로 전환해야 합니까?
PGP는 핵심 기능을 위해 X.509 CA를 전혀 사용하지 않습니다. (SKS CA의 유일한 목적은 키 서버와 개인적으로 통신하는 것입니다.) PGP 키는 다른 PGP 키에 의해 확인되므로 설계상 여러 "CA"를 허용합니다.
키서버 HTTPS 통신의 경우 GnuPG는 여러 CA를 지원하며 모두 동일한 파일에 있어야 합니다. 그러나 키서버 주소 자체를 변경할 때까지는 이를 변경할 필요가 없습니다.
웹 브라우저는 이미 HTTPS에 여러 CA를 사용하고 있습니다.