Estou lendo o pré-pré-tutorial do GPG emhttps://riseup.net/de/security/message-security/openpgp/best-practices. Ao clicar em um link para um .pemarquivo em sks-keyservers.net no Firefox, uma janela se abre perguntando se desejo confiar nisso como uma nova Autoridade de Certificação.
Q1: A janela que me permite inspecionar o certificado desta CA exibe:
Could not verify this certificate because the issuer is unknown.
Podemos dizer "é claro", já que não há - na verdade deveria haver - ninguém em um nível hierárquico superior ao de uma CA? Ou tenho o modelo mental errado da certificação como uma pirâmide com apenas uma autoridade central?
P2: Como devo proceder em caso de dúvida? IMO sks-keyserver.net parece a mãe da rede confiável GPG - por que essa não está pré-instalada no Mozilla?
Q3: Sempre há apenas uma CA ativa ao usar GPG? Preciso mudar manualmente?
Responder1
Podemos dizer "é claro", já que não há - na verdade deveria haver - ninguém em um nível hierárquico superior ao de uma CA?
Não, claro que não. Se esse fosse o único problema, o Firefox nem perguntaria – o certificado já diz que é uma CA. Em vez disso, o que ele está perguntando é:
Você confiaesta CA específicaser um CA? Qualquer um pode criar sua própria autoridade de certificação – isso não significa que fará um bom trabalho nisso. (Muitas CAs grandes e 'confiáveis' estragaram.) Você confia no operador do pool SKS para não emitir certificados falsos e para proteger a chave da CA contra roubo?
Você tem certeza que conseguiuo certificado corretopara esta CA? Qualquer um pode criar seu próprio certificado com qualquer nome - se você estiver prestes a marcá-lo como confiável, é melhor ter certeza de que é o verdadeiro "SKS CA" e não uma imitação barata de "SKS CA", como pode parecer idêntico, exceto pelo valor da 'impressão digital'.Vocêtenho que verificar isso porque, na verdade, não existe uma CA superior que possa verificar uma CA raiz.
(Basicamente, você está recebendo esta caixa de diálogo porque, no que diz respeito ao seu sistema, você está em um nível hierárquico mais alto do que todas as CAs.)
Ou tenho o modelo mental errado da certificação como uma pirâmide com apenas uma autoridade central
Queerao modelo original a ser usado para S/MIME (e posteriormente HTTPS) na década de 1990, com RSADSI como autoridade central. No entanto, o monopólio não durou muito – acabou por se tornar uma lista de várias autoridades de certificação concorrentes. (Agora é conhecido como sistema "WebPKI" e possui várias dezenas de CAs, sem contar os revendedores.)
Mais importante ainda, é o completo oposto do PGP. Hánãoautoridades centrais para chaves PGP – foi originalmente concebido para ser uma "rede de confiança".A CA que você está prestes a instalar não desempenha nenhum papel na verificação da chave PGP.
Em vez disso, você mesmo começa verificando algumas chaves PGP (por exemplo, de seus amigos) e pode marcar essas pessoas como autoridades. Não existe uma lista predefinida de CAs que verificariam todos.
IMO sks-keyserver.net parece a mãe da rede confiável GPG - por que essa não está pré-instalada no Mozilla?
Por um lado, como mencionado acima, o SKS CA não tem nada a ver com a rede de confiança PGP. Ele não emite certificados para pessoas – apenas para servidores de chaves. Portanto, ele é usado apenas para comunicação privada com os servidores de chaves por HTTPS, mas se você usa HTTPS ou não, isso realmente não afeta o PGP.
E a Mozilla não lida de forma alguma com a rede confiável PGP. HTTPS (TLS) usado por sites públicos é totalmente separado – ele usa a rede confiável "WebPKI".
O operador do pool SKS decidiu executar sua própria CA em vez de depender de CAs WebPKI, o que suponho que seja em parte devido à desconfiança no sistema de CA em geral, e em parte porque o pool opera de uma forma que dificulta o uso de CAs comerciais (cada pool servidor usa um único certificado com dois nomes de domínio).
Como a SKS CA foi construída para um propósito especial e não emite certificados para o público em geral, ela não seria adequada para a lista confiável da Mozilla.
Todos os itens acima levam ao último ponto:Na verdade, você não pretende instalar este certificado em um navegador da web, nem acessar os servidores de chaves por meio de um navegador.Claro, vocêpodefaça isso porque a maioria deles oferece uma interface web, mas os servidores de chaves devem ser usados principalmente pelo próprio GnuPG – você deve baixar esse arquivo .crt e configurá-lo no GnuPG.
Na verdade, isso limita o quanto você precisa “confiar” nele – já que ele não precisa ser instalado em seu navegador, isso significa que não pode afetar sua navegação diária de forma alguma; isso só pode afetar o software GnuPG.
(E o SKS CA, na verdade, vem pré-instalado e pré-configurado com todas as versões mais recentes do GnuPG. Qualquer tutorial que você esteja lendo está bastante desatualizado.)
Q3: Sempre há apenas uma CA ativa ao usar GPG? Preciso mudar manualmente?
O PGP não usa nenhuma CA X.509 para sua funcionalidade principal. (O único propósito do SKS CA é comunicar-se com os servidores de chaves de forma privada.) As chaves PGP são verificadas por outras chaves PGP, permitindo múltiplas "CAs" por design.
Para comunicação HTTPS do servidor de chaves, o GnuPG suporta vários CAs, todos eles só precisam estar no mesmo arquivo. Mas você não precisará alterá-los até alterar o próprio endereço do servidor de chaves.
Os navegadores da Web já usam várias CAs para HTTPS.