决定是否签署某人的密钥


3

如何决定是否签署某人的PGP公钥?我正在查看一些联系页面,他们要求人们签署公钥。 签署某人公钥时有多严重的承诺?

6

如果你真的了解他们,你应该只签署某人的钥匙,并且你相信钥匙是他们的钥匙。

当你签名时,你说你检查了他们,你知道这是他们的关键。

然后你会发现“我是否会相信这个人在评估他人身份时和我一样全面?”你可能有小心的朋友,或者你认识并且担任责任的人,因此你认为他们可能是值得信赖的,或者他们可能是一个完全陌生的人,所以你不会相信他们是被烧毁的比赛。这是您分配信任级别的时候。

乞讨你签名的网页可能是有人试图建立一个袜子傀儡,假身份,甚至偷别人的身份。更糟糕的是,他们可能正在收集那些足够容易签署随机密钥而没有验证过程的人的身份。

  0

谢谢,这是让我想到这个问题的网站http://www.w3.org/People/Connolly/connolly-pgp-key 09 8月. 132013-08-09 03:16:09

+1

啊。他并不是要求你在网上看不见的视线。如果你联系他,你可以安排签名。非常不一样。 10 8月. 132013-08-10 18:42:01


3

您需要验证他们的身份。通常情况下,这要求他们让他们向您展示两种身份验证形式(例如身份证和驾驶执照),并让他们向您展示一份文件,确定他们实际居住在他们列出的地址(电费单或水)。

例如CAcert是一个社区驱动的证书颁发机构。他们有时做签约方:

要创造更高的信任证书,用户可以参与 信任系统的网络,使用户在物理见面,确认对方的身份 。 CAcert维护每个 帐户的保证点数量。保证点可以通过各种方式获得,主要是通过将用户的身份 归类为“Assurers”进行身份验证。拥有更多保证点可使用户获得更多权限,例如在证书中写入名称和在证书上更长的到期时间。具有至少100个保证 分的用户是预期的保证人,并且可以在通过保证人 质询[5]之后 - 验证其他用户;更多保证点允许 Assurer向其他人分配更多保证点。

  0

你是说我必须亲自见面才能签名。我会在那里做什么? 09 8月. 132013-08-09 03:18:14

+3

在您当地的密钥签署方 09 8月. 132013-08-09 03:49:41

  0

他们还在吗?多年来我一直没有看到任何信息,甚至在十年前,他们都很晦涩。 09 8月. 132013-08-09 12:34:23

  0

我相信他们仍然会在CEBIT 09 8月. 132013-08-09 13:05:50

  0

这样的大型会议上进行。是的,这些会议仍在进行。 E,g,每年在[FOSDEM](https://fosdem.org/2014/)上检查和签署密钥的人都很多。并且实际验证他们的ID而不是盲目地接受[lichtbildausweis](http://vimeo.com/49968783)。 10 8月. 132013-08-10 17:09:24