PGP: Кодирование и шифрование информации с открытым ключом - [8]
PGP следит, какие ключи в вашем каталоге открытых ключей правильно удостоверяются подписями поручителей, которым вы доверяете. Все, что вы должны делать — сообщать PGP, каким людям вы доверяете, как поручителям, и удостоверять их ключи у себя с помощью вашей собственной абсолютно достоверной подписи. PGP может брать ее отсюда автоматически при утверждении любых других ключей, которые были подписаны вашими указанными поручителями. И, конечно, вы можете прямо подписывать большинство ключей самостоятельно. Подробнее об этом ниже.
Удостоверьтесь, что никто другой не может подделать ваш собственный каталог открытых ключей. Проверка нового подписанного удостоверения открытого ключа должна, в конечном счете, зависеть от целостности достоверных открытых ключей, которые уже имеются в вашем собственном каталоге открытых ключей. Поддерживайте физический контроль за вашим каталогом открытых ключей, предпочтительно на вашем собственном персональном компьютере, нежели на удаленной системе с разделением времени, так же, как вы будете делать это для вашего секретного ключа. Это должно защищать его от подделки, но не от раскрытия. Храните достоверную резервную копию вашего каталога открытых ключей и вашего каталога секретных ключей на защищенных от записи носителях.
Так как ваш собственный достоверный открытый ключ используется как последняя инстанция для прямого или косвенного удостоверения всех остальных ключей в каталоге, этот ключ является наиболее важным для защиты от подделки. Для обнаружения любой подделки вашего собственного абсолютно достоверного открытого ключа PGP может быть сконфигурирована таким образом, чтобы автоматически сравнивать ваш открытый ключ с резервной копией на защищенном от записи носителе. Для получения более подробной информации см. описание команды "-kc" в части "Специальные Разделы".
PGP, в принципе, считает, что вы будете поддерживать физическую защиту вашей системы и ваших каталогов ключей, столь же хорошо, сколь и собственно вашу копию PGP. Если злоумышленник имеет доступ к вашему диску, тогда, теоретически, он может изменить собственно PGP.
Один несколько сложный способ защиты вашего собственного каталога открытых ключей от вмешательства заключается в прописывании всего каталога вашим секретным ключом. Вы могли бы сделать это посредством создания отдельного удостоверения подписи каталога открытых ключей, посредством подписания каталога с помощью опции "-sb".
К сожалению, вы будете должны еще хранить отдельную достоверную копию вашего собственного открытого ключа для проверки сделанной подписи. Вы не можете полагаться на ваш собственный открытый ключ, хранящийся в каталоге, так как он является частью того, что вы пытаетесь проверить.
Как PGP следит за корректностью ключей.
Прежде, чем вы начнете читать этот раздел, убедитесь что вы прочитали предыдущий раздел "Как защитить открытые ключи от подделки".
PGP следит, какие ключи в вашем каталоге открытых ключей правильно удостоверяются подписями поручителей, которым вы доверяете. Все, что вы должны делать — сообщать PGP, каким людям вы доверяете, как поручителям, и удостоверять их ключи у себя с помощью вашей собственной абсолютно достоверной подписи. PGP может брать ее отсюда, автоматически при утверждении любых других ключей, которые были подписаны вашими указанными поручителями. И, конечно, вы можете прямо подписывать большинство ключей самостоятельно.
Имеются два совершенно разных критерия, которые PGP использует, чтобы судить о полезности открытого ключа:
1) Действительно ли ключ принадлежит упомянутому в идентификаторе человеку? Иными словами, был ли ключ удостоверен с помощью достоверной подписи?
2) Принадлежит ли он кому-либо из тех, кому мы можем доверять для удостоверения других ключей?
PGP может вычислять ответ на первый вопрос. Для ответа на второй вопрос вам, пользователю, необходимо явно пообщаться с PGP. Когда вы вводите ответ на вопрос 2, PGP может вычислить ответ на вопрос 1 для других ключей, подписанных тем поручителем, которого вы указываете как достоверного.
Ключи, удостоверенные поручителем, которому вы доверяете, PGP считает истинными. Ключи, принадлежащие доверенным поручителям, должны быть удостоверены либо вами, либо другими доверенными поручителями.
PGP также позволяет вам иметь несколько степеней доверия для людей, чтобы действовать как поручитель. Ваше доверие к владельцу ключа не просто отражает вашу оценку их персональной честности — это также должно отражать то, насколько компетентны, по вашему мнению, в понимании управления ключами и в принятии верного решения при подписании ключа. Вы можете обозначить человека как неизвестного для PGP, или как которому нет доверия, или как обладающего частичным доверием, или, наконец, обладающего полным вашим доверием при удостоверении других открытых ключей. Эта информация сохраняется в вашем каталоге вместе с их ключами, но когда вы даете команду PGP извлечь ключ из вашего каталога, PGP не копирует информацию о степени доверия наряду с ключом, так как ваши частные соображения относительно степени доверия расцениваются как конфиденциальные.