Читайте также: |
|
До чтения этого раздела вам нужно прочитать предыдущий, где рассказывается о том, как защищать открытые ключи от подделки.
PGP следит за тем, какие из ключей, находящихся на вашей открытой связке, надлежащим образом заверены посредниками, которым вы доверяете. Все что вам остается - это указать, кому вы доверяете как посредникам, и заверить их ключи своей собственной подписью. PGP затем будет автоматически переносить эту степень доверия на все ключи, заверенные подписями указанных вами посредников. И, конечно, вы можете непосредственно заверять ключи сами.
Для определения степени полезности открытого ключа PGP использует два различных критерия - не перепутайте их: 1) Принадлежит ли ключ действительно тому, чье имя он несет? Иными словами, сертифицирован ли он кем-нибудь, чьей подписи вы доверяете? 2) Принадлежит ли он тому, кому вы доверяете заверять другие ключи?
Ответ на первый вопрос PGP может вычислить. На второй вопрос вы должны дать PGP явный ответ. После того, как вы ответите на второй вопрос, PGP может вычислить ответ на первый вопрос для ключей, заверенных посредником, которому вы доверяете.
Ключи, заверенные посредниками, которым вы доверяете, PGP считает действительными. Ключи, принадлежащие этим посредникам, сами должны быть заверены или вами или другими посредниками, которым вы доверяете.
PGP также учитывает, что вы можете испытывать разную степень доверия к людям, в смысле их способности быть посредниками. Степень вашего доверия к способности владельца ключа выступать в качестве посредника отражает вашу оценку не только его персональной порядочности, но и его компетентности в понимании механизма управления ключами и склонности руководствоваться здравым рассудком при принятии решения о сертифицировании ключа третьего лица. Вы можете обозначить лицо, как пользующееся полным доверием, ограниченным доверием или не пользующееся доверием. Эта информация об испытываемой вами степени доверия хранится на связке вместе с соответствующими ключами, но при экспорте ключа из связки она не переносится, так как ваше личное мнение о степени, в которой можно доверять владельцу ключа, считается конфиденциальным.
Когда PGP оценивает валидность открытого ключа, она проверяет уровень доверия, приданный вами всем подписям, которыми он заверен. Она вычисляет взвешенное значение валидности, т.е. две подписи лиц, пользующихся ограниченным доверием, рассматриваются так же, как подпись одного лица, пользующегося полным доверием. Скептицизм PGP может регулироваться - например, вы можете настроить ее таким образом, чтобы она требовала наличия двух подписей лиц, пользующихся полным доверием или трех - лиц, пользующихся ограниченным доверием для того, чтобы считать ключ действительным.
Ваш собственный ключ является для PGP "аксиоматически" действительным и не требует для подтверждения никаких сертификатов. PGP распознает ваши собственные открытые ключи по наличию соответствующих закрытых ключей на связке закрытых ключей.
По прошествии некоторого времени, вы соберете ключи людей, которым вы доверяете как посредникам. Другие также выберут тех, кому они доверяют в этом качестве. И каждый, в свою очередь, постепенно соберет такую коллекцию заверяющих его открытый ключ подписей, что сможет ожидать от любого получателя доверия по крайней мере к одной или двум из этих подписей. Это приведет к возникновению широкой и устойчивой к сбоям сети доверия, по которой будут распространяться открытые ключи.
Этот уникальный самодеятельный подход контрастирует со стандартными схемами управления открытыми ключами, разработанными правительством и другими монолитными организациями, например, с Internet Privacy Enhanced Mail (PEM), основанным на централизованном контроле и принудительно централизованном доверии. Стандартная схема предполагает иерархию уполномоченных сертификаторов, которая диктует вам, кому вы должны верить. Децентрализованный вероятностный метод определения действительности ключей, реализованный PGP, позволяет вам самим решать, кому вы доверяете, ставя вас самих на вершину своей собственной пирамиды сертификации. PGP - для тех людей, которые предпочитают сами укладывать свои парашюты.
Хотя здесь подчеркивается децентрализованный, рассчитанный на самодеятельность подход, это не значит, что PGP не может использоваться в более иерархических и централизованных схемах управления открытыми ключами. Например, пользователи-большие корпорации, вероятно, предпочтут иметь специальную должность или лицо, которое подписывает ключи всех сотрудников. PGP поддерживает и этот централизованный сценарий в качестве вырожденного случая своей обобщенной модели распределенного доверия.
Дата добавления: 2015-07-20; просмотров: 93 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Как защищать открытые ключи от подмены | | | Как защищать закрытые ключи от раскрытия |