Forum » Informacijska varnost » Level of trust v PGP
Level of trust v PGP
Matthew ::
Berem in berem po netu, pa mi še vedno ni čisto jasno, kaj je fora "Level of trust" pri PGP. Če pravilno razumem, se s pomočjo le-tega gradi mrežo ljudi, ki jim zaupaš. Trenutno se šele spoznavam s PGP. Uporabljam Winse in sem si namestil PGP Desktop 9. Sedaj pa rešujem določene naloge. Zataknilo se mi je samo pri sledeči:
"Send me your key in ASCII and let me know (according to the way you send it to me :-) what level of trust can I have in such a key and how could you possibly improve this trust level."
Zelo bi mi pomagali, če mi pomagate pri razumevanja tega "level of trust" in kako lahko ugotovim, kakšnega zagotavljam prejemniku mojega ključa in kako bi lahko to izboljšal? PGP se mi zdi zelo zanimiva zadeva, vendar ga moram še malo bolj zaobvladati.
"Send me your key in ASCII and let me know (according to the way you send it to me :-) what level of trust can I have in such a key and how could you possibly improve this trust level."
Zelo bi mi pomagali, če mi pomagate pri razumevanja tega "level of trust" in kako lahko ugotovim, kakšnega zagotavljam prejemniku mojega ključa in kako bi lahko to izboljšal? PGP se mi zdi zelo zanimiva zadeva, vendar ga moram še malo bolj zaobvladati.
- premaknil iz Pomoč in nasveti: Gandalfar ()
Matthew ::
OK, imam prejemnikov javni ključ. Če grem pod properties mu lahko nastavim Trust level na Trusted, Marginal ali pa None. Recimo, da nastavim na Trusted, ker lastnika poznam. Potem napišem email sporočilo, ga enkriptam z njegovim ključem in podpišem z mojim. V email sporočilo vključim moj javni ključ v ASCII obliki.
Še zmeraj pa mi ni jasen odgovor na zgornjo nalogo. Kakšen Trust level ima prejemnik? Trusted? Kako bi lahko ta Trust level izboljšal?
Še zmeraj pa mi ni jasen odgovor na zgornjo nalogo. Kakšen Trust level ima prejemnik? Trusted? Kako bi lahko ta Trust level izboljšal?
Zgodovina sprememb…
- spremenil: Matthew ()
jype ::
Ne moreš ga izboljšati. Trusted pomeni, da kar se tebe tiče tisti ključ pripada tisti osebi (ti misliš, da nihče drug nima zasebnega ključa in ne more brati pošte, kriptirane z ustreznim javnim ključem, razen osebe, navedene ob njem).
Marginal rečeš takrat, ko o tem nisi 100% prepričan (ne veš, če je oseba, ki ti je predala javni ključ, zares prava).
None rečeš takrat, ko ne veš, čigav ključ pravzaprav je. Pri tem moraš biti pazljiv: če nisi osebno govoril s človekom in bodisi nisi njegov bližnji ali prijatelj ali pa se človek ni izkazal z osebnim dokumentom, potem ne moreš vedeti, da je ključ zares njegov. Pri podpisovanju se običajno izmenja PGP fingerprint, ki dovolj natančno predstavi ključ, da ga ni enostavno ponarediti.
Če ta pravila ignoriraš, je mreža zaupanja šibkejša - nekdo se lahko izdaja za nekoga drugega in mu par članov mreže podpiše javni ključ, na katerem je ime nekoga drugega. Tako bodo vsi, ki zaupajo tem članom mreže verjeli, da ključ, katerega ustrezajoč ključ ima nekdo drug, pripada tisti osebi (pa v resnici ne).
Hudiča, moral bi pisati o Bobu, Alice in Marvinu, da bi bilo bolj jasno. Če ti ni, povej, bom še enkrat.
Marginal rečeš takrat, ko o tem nisi 100% prepričan (ne veš, če je oseba, ki ti je predala javni ključ, zares prava).
None rečeš takrat, ko ne veš, čigav ključ pravzaprav je. Pri tem moraš biti pazljiv: če nisi osebno govoril s človekom in bodisi nisi njegov bližnji ali prijatelj ali pa se človek ni izkazal z osebnim dokumentom, potem ne moreš vedeti, da je ključ zares njegov. Pri podpisovanju se običajno izmenja PGP fingerprint, ki dovolj natančno predstavi ključ, da ga ni enostavno ponarediti.
Če ta pravila ignoriraš, je mreža zaupanja šibkejša - nekdo se lahko izdaja za nekoga drugega in mu par članov mreže podpiše javni ključ, na katerem je ime nekoga drugega. Tako bodo vsi, ki zaupajo tem članom mreže verjeli, da ključ, katerega ustrezajoč ključ ima nekdo drug, pripada tisti osebi (pa v resnici ne).
Hudiča, moral bi pisati o Bobu, Alice in Marvinu, da bi bilo bolj jasno. Če ti ni, povej, bom še enkrat.
Matthew ::
Ne ne, mi je jasno, hvala. Saj pravim, sem si dosti o tem že prebral (nisem pasel lenobe), tako da tudi vem, kaj misliš z Bobom, Alice in ostalimi. Samo čudil me je tekst dane naloge. Zdaj sem že nekaj sestavil in vso stvar na opisen način razložil. Upam, da je to to, kar je bilo mišljeno. Hvala za pomoč!
Loki ::
kaj pa v praksi pomeni trusted, marginal....? edino to, da takoj vidimo, da je nekdo lahko kompromitiran?
I left my wallet in El Segundo
poweroff ::
Ne.
Zadeva je povezana z MITM napadom.
Oseba A ti pošlje svoj javni PGP ključ.
Sedaj nastopi vprašanje: ali je to res ključ te osebe, ali pa se je morda oseba B tebi predstavila za osebo A?
Kako to vemo?
Tako, da pogledamo digitalni prstni odtis ključa (fingerprint).
Če se odtisa pri pošiljatelju (osebi A) in prejemniku (meni) ujemata, potem je OK - vmes ni prišlo do MITM napada in ključ res pripada osebi A.
Vprašanje: kako preveriti fingerprinte?
Najbolje je osebno. Osebo A čez nekaj časa obiščem in ji rečem, naj mi pove svoj fingerprint. Če se ujemata, osebo nastavim za "trusted".
Če fingerprinta nisem preveril, ostane na "none".
Na vmes pa dam, če recimo nisem čisto prepričan. Če sem recimo preveril preko telefona. Ali pa preko digitalnega podpisa tretje osebe (skupnega znanca), ali kaj podobnega.
Zadeva je povezana z MITM napadom.
Oseba A ti pošlje svoj javni PGP ključ.
Sedaj nastopi vprašanje: ali je to res ključ te osebe, ali pa se je morda oseba B tebi predstavila za osebo A?
Kako to vemo?
Tako, da pogledamo digitalni prstni odtis ključa (fingerprint).
Če se odtisa pri pošiljatelju (osebi A) in prejemniku (meni) ujemata, potem je OK - vmes ni prišlo do MITM napada in ključ res pripada osebi A.
Vprašanje: kako preveriti fingerprinte?
Najbolje je osebno. Osebo A čez nekaj časa obiščem in ji rečem, naj mi pove svoj fingerprint. Če se ujemata, osebo nastavim za "trusted".
Če fingerprinta nisem preveril, ostane na "none".
Na vmes pa dam, če recimo nisem čisto prepričan. Če sem recimo preveril preko telefona. Ali pa preko digitalnega podpisa tretje osebe (skupnega znanca), ali kaj podobnega.
sudo poweroff
poweroff ::
V praksi to samo pomeni da takoj vidimo ali smo sami preverili pristnost javnega ključa ali ne.
sudo poweroff
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Zlikovci pridobili nadzor nad Comodo CA-jem, izdali ponarejene certifikateOddelek: Novice / Varnost | 8567 (7283) | jype |
» | Preverjanje digitalnega podpisaOddelek: Informacijska varnost | 8445 (6597) | neki4 |
» | Na Švedskem sprejeli zakon, ki dovoljuje prestrezanje mednarodnega prometaOddelek: Novice / Zasebnost | 5569 (4462) | redo |
» | Pipin odprti termin: Linux na access pointih in xboxuOddelek: Novice / Konzole | 3588 (2980) | Brane2 |
» | Kaj, zakaj in kako - CertifikatOddelek: Omrežja in internet | 1525 (1385) | poweroff |