GPG pourquoi ma clé de confiance n'est-elle pas certifiée avec une signature de confiance?
Quand je cours
gpg --verify ~/file.asc ~/file
Je reçois ce qui suit:
gpg: Signature made Tue 10 Dec 2016 05:10:10 AM EST using RSA key ID abcdefgh
gpg: Good signature from "Alias (signing key) <[email protected]>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: (a fingerprint)
Subkey fingerprint: (a fingerprint)
L'empreinte principale correspond à la sortie de gpg --fingerprints Dans mon trousseau de clés, j'ai:
pub 4096R/abcdefgh 2014-12-12 [expires: 2020-08-02]
Key fingerprint = (A public finger print)
uid Alias (signing key) <[email protected]>
sub 4096R/xcdertyu 2014-12-11 [expires: 2017-08-11]
Je voulais vérifier l'authenticité d'un fichier avec l'empreinte de la clé publique. Notez que le niveau de confiance est le niveau 4 (confiance totale)
Je le crois parce que:
:~$ gpg --edit-key abcdefgh
gpg (GnuPG) 1.4.18; Copyright (C) 2014 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
pub 4096R/abcdefgh created: 2014-12-12 expires: 2020-08-02 usage: C
trust: full validity: unknown
Devrait-il y avoir une raison de s'inquiéter? Merci pour votre patience alors que j'apprends plus sur la crypto!
La clé doit être vérifiée. Si vous pensez que la clé publique de quelqu'un appartient en fait à cette personne et qu'elle se trouve dans votre trousseau de clés, vous pouvez utiliser votre clé privée pour signer la clé publique de votre correspondant et la valider.
Vous êtes donc Bob et vous avez confiance que la clé publique d'Alice appartient en fait à Alice, alors vous la signez avec votre clé privée. La clé d'Alice vous est donc confiée. Toutes les clés en lesquelles Alice fait confiance, par exemple, quelqu'un appelé Chris sera également dans votre réseau de confiance. Vous pouvez donc également faire confiance à Chris, car Alice le fait. La clé de Chris sera donc certifiée avec une signature de confiance.
Maintenant, si Alice croit que votre clé vous appartient, elle peut valider votre clé publique en la signant avec sa clé privée, par conséquent, votre clé sera désormais incluse dans ce même réseau de confiance.
une procédure a été donnée pour valider les clés publiques de vos correspondants: la clé d'un correspondant est validée en vérifiant personnellement l'empreinte digitale de sa clé puis en signant sa clé publique avec votre clé privée. En vérifiant personnellement l'empreinte digitale, vous pouvez être sûr que la clé lui appartient vraiment, et puisque vous avez signé la clé, vous pouvez être sûr de détecter toute falsification à l'avenir. Malheureusement, cette procédure est gênante lorsque vous devez valider un grand nombre de clés ou communiquer avec des personnes que vous ne connaissez pas personnellement.
GnuPG résout ce problème avec un mécanisme connu sous le nom de toile de confiance. Dans le modèle Web of Trust, la responsabilité de valider les clés publiques est déléguée aux personnes de confiance. Par exemple, supposons
Alice a signé la clé de Blake, et
Blake a signé la clé de Chloé et la clé de Dharma.
Si Alice fait confiance à Blake pour valider correctement les clés qu'il signe, alors Alice peut déduire que les clés de Chloé et de Dharma sont valides sans avoir à les vérifier personnellement. Elle utilise simplement sa copie validée de la clé publique de Blake pour vérifier que les signatures de Blake sur Chloé et Dharma sont bonnes. En général, en supposant qu'Alice fait entièrement confiance à tout le monde pour valider correctement les clés qu'ils signent, toute clé signée par une clé valide est également considérée comme valide. La racine est la clé d'Alice, qui est supposée axiomatiquement valide. Faites confiance au propriétaire d'une clé
Dans la pratique, la confiance est subjective. Par exemple, la clé de Blake est valide pour Alice depuis qu'elle l'a signée, mais elle peut ne pas faire confiance à Blake pour valider correctement les clés qu'il signe. Dans ce cas, elle ne considérerait pas la clé de Chloé et de Dharma comme valide sur la seule base des signatures de Blake. Le modèle du Web de confiance en tient compte en associant à chaque clé publique de votre trousseau une indication de la confiance que vous accordez au propriétaire de la clé.
Il existe quatre niveaux de confiance .
inconnu
On ne sait rien du jugement du propriétaire lors de la signature des clés. Les clés de votre trousseau de clés publiques que vous ne possédez pas initialement ont ce niveau de confiance.
aucun
Le propriétaire est connu pour signer incorrectement d'autres clés.
marginal
Le propriétaire comprend les implications de la signature des clés et valide correctement les clés avant de les signer.
plein
Le propriétaire a une excellente compréhension de la signature des clés, et sa signature sur une clé sera aussi bonne que la vôtre.
Le niveau de confiance d'une clé est quelque chose que vous seul attribuez à la clé, et il est considéré comme une information privée. Il n'est pas fourni avec la clé lors de son exportation; il est même stocké séparément de vos trousseaux dans une base de données distincte. L'éditeur de clés GnuPG peut être utilisé pour ajuster votre confiance dans le propriétaire d'une clé.
Jetez également un œil à cet avertissement de panne de serveur