Я читаю предварительный курс GPG по адресуhttps://riseup.net/de/security/message-security/openpgp/best-practices. При нажатии на ссылку на .pemфайл на sks-keyservers.net в Firefox открывается окно с вопросом, хочу ли я доверять этому файлу как новому центру сертификации.
В1: В окне, позволяющем мне проверить сертификат для этого центра сертификации, отображается следующее:
Could not verify this certificate because the issuer is unknown.
Можем ли мы сказать "конечно", поскольку нет - фактически не должно быть - никого другого на более высоком уровне иерархии, чем CA? Или у меня неправильная ментальная модель сертификации как пирамиды с единственным центральным органом?
В2: Что делать, если есть сомнения? По моему мнению, sks-keyserver.net выглядит как прародитель сети доверия GPG — почему он не предустановлен в Mozilla?
В3: Всегда ли активен только один CA при использовании GPG? Нужно ли переключаться вручную?
решение1
Можем ли мы сказать «конечно», поскольку на более высоком уровне иерархии, чем ЦС, нет — и фактически не должно быть — никого другого?
Нет, конечно нет. Если бы это была единственная проблема, Firefox бы даже не спрашивал — сертификат и так говорит, что это CA. Вместо этого он спрашивает вас о следующем:
Ты доверяешь?этот конкретный CAбыть центром сертификации? Любой может создать свой собственный центр сертификации – это не значит, что он будет хорошо с этим справляться. (Многие крупные и «доверенные» центры сертификации стали плохими.) Доверяете ли вы оператору пула SKS, что он не выдаст поддельных сертификатов и защитит ключ центра сертификации от кражи?
Ты уверен, что у тебя естьправильный сертификатдля этого CA? Любой может создать свой собственный сертификат с любым именем на нем – если вы собираетесь пометить его как доверенный, вам лучше убедиться, что это настоящий "SKS CA", а не дешевая подделка "SKS CA", поскольку они могут выглядеть одинаково, за исключением значения "отпечатка пальца".Тынеобходимо это проверить, поскольку на самом деле нет более высокого центра сертификации, который мог бы проверить корневой центр сертификации.
(По сути, вы получаете это диалоговое окно, потому что с точки зрения вашей системы вы находитесь на более высоком уровне иерархии, чем все центры сертификации.)
Или у меня неправильная ментальная модель сертификации как пирамиды с одним центральным органом?
Чтобылоригинальная модель, которая использовалась для S/MIME (и позже HTTPS) в 1990-х годах, с RSADSI в качестве центрального органа. Однако монополия продлилась недолго – в конечном итоге она превратилась в список из нескольких конкурирующих органов сертификации. (Теперь она известна как система «WebPKI» и имеет несколько десятков центров сертификации, не считая реселлеров.)
Что еще важнее, это полная противоположность PGP. Естьнетцентральные органы управления ключами PGP – изначально предполагалось, что это будет «сеть доверия».Центр сертификации, который вы собираетесь установить, не играет никакой роли в проверке ключа PGP.
Вместо этого вы начинаете с проверки некоторых ключей PGP самостоятельно (например, ваших друзей) и можете отметить этих людей как авторитетных. Нет предопределенного списка CA, которые проверяли бы всех.
По моему мнению, sks-keyserver.net выглядит как прародитель сети доверия GPG. Почему же она не предустановлена в Mozilla?
Во-первых, как уже упоминалось выше, SKS CA вообще не имеет ничего общего с сетью доверия PGP. Он не выдает сертификаты людям — только серверам ключей. Поэтому он используется только для приватной связи с серверами ключей по HTTPS, но то, используете ли вы HTTPS для этого или нет, на самом деле не влияет на PGP.
И Mozilla никак не взаимодействует с сетью доверия PGP. HTTPS (TLS), используемый публичным веб-сайтом, полностью отделен – он использует сеть доверия «WebPKI».
Оператор пула SKS решил запустить собственный центр сертификации, а не полагаться на центры сертификации WebPKI, что, как я полагаю, отчасти связано с недоверием к системе центров сертификации в целом, а отчасти с тем, что пул работает таким образом, что использование коммерческих центров сертификации затруднено (каждый сервер пула использует один сертификат с двумя доменными именами).
Поскольку центр сертификации SKS был создан для специальных целей и не выдает сертификаты широкой публике, он в любом случае не подходит для списка доверия Mozilla.
Все вышесказанное приводит нас к последнему пункту:На самом деле вам не нужно устанавливать этот сертификат в веб-браузер или получать доступ к серверам ключей через браузер.Конечно, тыможетсделайте это, поскольку большинство из них предлагают веб-интерфейс, но серверы ключей в первую очередь предназначены для использования самим GnuPG — вам нужно загрузить этот файл .crt и настроить его в GnuPG.
Это фактически ограничивает то, насколько вам нужно «доверять» ему — поскольку его не нужно устанавливать в вашем веб-браузере, это означает, что он никак не может повлиять на ваш ежедневный просмотр веб-страниц; он может повлиять только на программное обеспечение GnuPG.
(И SKS CA на самом деле поставляется с предустановленными и предварительно настроенными всеми последними версиями GnuPG. Любое руководство, которое вы читаете, довольно устарело.)
В3: Всегда ли активен только один CA при использовании GPG? Нужно ли переключаться вручную?
PGP вообще не использует никакие центры сертификации X.509 для своей основной функциональности. (Единственной целью центра сертификации SKS является конфиденциальная связь с серверами ключей.) Ключи PGP проверяются другими ключами PGP, поэтому он по своей сути допускает использование нескольких «центров сертификации».
Для HTTPS-коммуникации сервера ключей GnuPG поддерживает несколько CA, все они должны быть в одном файле. Но вам не нужно будет их менять, пока вы не измените адрес самого сервера ключей.
Веб-браузеры уже используют несколько центров сертификации для HTTPS.