Обновление сервера ключей OpenPGP, добавление и удаление удостоверений


1

При добавлении новых идентификаторов в мой ключ OpenPGP я могу загрузить открытый ключ на сервер ключей, чтобы другие могли обновить свою копию.

Теперь, когда я удаляю удостоверение, будет ли сервер ключей обновляться до новой версии моего открытого ключа, или он будет сохранять более старую копию, поскольку новая версия содержит меньше удостоверений?

Если он обновит ключ, как я и просил, сможет ли кто-нибудь другой перезаписать мою новую копию открытого ключа своей старой, если они загрузят ее?

Ответы:


2

Ключ OpenPGP не является отдельным объектом, но состоит из целого потока пакетов OpenPGP. Например, сообщение с открытым ключом состоит из (среди прочего) первичного пакета с открытым ключом, пакетов подключей, пакетов идентификаторов пользователей и различных видов подписей, некоторые из которых предоставляют сертификаты другими пользователями OpenPGP, другие связывают идентификаторы пользователей и подключи. Серверы ключей всегда объединяют эти пакеты и никогда ничего не удаляют.

Если он обновит ключ, как я и просил, сможет ли кто-нибудь другой перезаписать мою новую копию открытого ключа своей старой, если они загрузят ее?

Если вы добавите другой идентификатор пользователя, будет добавлен другой пакет (и объединен при отправке на серверы ключей). Это также включает в себя то, что другие пользователи, загружающие «старые» версии вашего ключа, не будут удалять вновь добавленные идентификаторы пользователей - они загружают «неполную» копию, которая будет объединена (и, вероятно, вообще ничего не изменит).

Теперь, когда я удаляю удостоверение, будет ли сервер ключей обновляться до новой версии моего открытого ключа, или он будет сохранять более старую копию, поскольку новая версия содержит меньше удостоверений?

С другой стороны, это также означает, что вы не можете удалить старые идентификаторы пользователей, так как это не соответствует режиму «слияния», который имеют серверы ключей. Вместо этого вы отзывать старые идентификаторы пользователей (и все другие виды объектов OpenPGP), в результате чего специальная подпись отзыва добавляется в виде другого пакета OpenPGP и объединяется с вашим открытым ключом.


1

Вы не можете перезаписать или иным образом Удалить данные с сервера ключей PGP - вы можете только отозвать их (используя GnuPG revuid ), а затем загрузите «подпись отзыва» на сервер ключей.

Однако современные серверы ключей принимают только идентификаторы, подписанные главным ключом - это запись «[self-signature]», которую можно увидеть в списке подписей. В то время как кто-то может легко создать поддельный пакет идентификатора пользователя, он не может подделать собственную подпись.


Спасибо за Ваш ответ! Таким образом, в основном, если я хочу удалить UID, я должен сделать отзыв для UID, и тогда сервер ключей удалит его из моего ключа, если кто-то загрузит его?
comfreak

1
Это не совсем то, о чем просит @comreak. Хотя возражения относительно отзыва вместо удаления идентификаторов пользователей являются действительными и в некоторой степени важными в этом случае, вы упустили момент, когда серверы ключей объединяют разные версии ключей. Наконец, вы никогда не должны доверять ключевым серверам. Они в основном проверяют самоподпись, и обычно не бывает поддельных идентификаторов пользователей, но большинство ключевых серверов управляются совершенно незнакомыми людьми, а передача данных часто полностью не проверяется.
Jens Erat
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.