Обсуждение:PGP

Самое главное все-же не в том, что электронная подпись позволяет установить владельца, а в том, что она имеет юридическую силу, то есть приравнивается в обычной подписи под документом. Правда лишь в том случае, если ключ выдан удостоверяющим центром.

Про юридическую сторону ЭЦП написал. Под "установить владельца" имеет в виду "подтвердить авторство", а не узнать, кто владелец (как в случае "пробить по айпи", например). В статье есть две темы: 1. общее для криптографии с открытым ключом (асимметричное шифрование и ЭЦП) и 2. Специфика PGP. Причем первая тема расписана гораздо подробнее, чем вторая. Имеет смысл её выделить, как отдельную статью "криптография с открытым ключом" (с редиректами асимметричное шифрование и ЭЦП), а из остатков слепить короткую статью со ссылками на основную и скриншотами PGP. Есть ли возражения?

Ну, "установить владельца" и "подтвердить авторство" в данном случае одно и то-же.

Еще одно дополнение. Удостоверяющий центр выдаёт как раз закрытый ключ (либо пару ключей) а не публичный. Далее: цифровая подпись осуществляется парой ключей, своим закрытым и открытым ключом получателя.

По первому пункту: лучше уж сразу создать общую статью "Криптография" и там описать все аспекты, понятия и определения, описать виды шифров и так далее.

А может не надо нам криптографии? Слишком широкая тема, да и осилить такую статью довольно сложно.

Владельцу ключа выдается закрытый ключ. А желающим проверить подпись - открытый. Закрытый ключ не хранится нигде, кроме как у его владельца.

Копия закрытого ключа хранится в удостоверяющем центре, иначе свое авторство вы доказать никак не сможете. У вас для этого должен быть закрытый ключ в любом случае.~~~~

>иначе свое авторство вы доказать никак не сможете

а вот тут вы ошибаетесь. Вся суть криптографии с открытым ключом (в контексте ЭЦП) в том, что закрытый ключ нужен для того, чтобы сделать подпись, а открытый — чтобы её проверить (=проверить авторство). В центре хранятся открытые ключи, у вас хранится закрытый ключ, а коллегам вы даете открытый ключ (тогда им и центр не нужен) или фингерпринт (центр выдает открытые ключи в ответ на фингерпринт). Если же вашу подпись захочет проверить незнакомый вам человек, который не может получить ваш фингерпринт без риска подмены, он обратится в центр, назовет ваше имя и ему выдадут открытый ключ.

Короче, закрытый ключ находится у владельца и только у него.

Да нет, Ation, в центре тоже хранится копия закрытого, без неё центр подлинность открытого проверить никак не сможет. Потому что на основе закрытого ключа можно создать любое количество открытых (и в некоторых случаях это необходимо), и все они будут различаться, поэтому выданный центром открытый ключ вовсе необязательно совпадёт с тем, который вы проверяете. Открытый ключ строго соответствует закрытому, поэтому только имея в наличии закрытый ключ можно подтвердить подлинность открытого, иначе никак.

Мне не удалось найти подтверждение того, что центр хранит закрытые ключи. Все источники в один голос утверждают, что лицо генерирует пару ключей и отправляет открытый ключ в центр. К примеру, в википедии первым же пунктом сказано, что закрытый ключ известен только его владельцу.

>на основе закрытого ключа можно создать любое количество открытых (и в некоторых случаях это необходимо)

Это уже интересно. Можно ссылку и пример, когда это необходимо?

Вы в PGP можете создать на основе закрытого ключа любое количество отрытых, попробуйте, сами увидите что это возможно и что по содержанию ключи будут разные. Необходимость создания нескольких открытых ключей может возникнуть при переписке с несколькими деловыми партнёрами. Каждому высылается свой открытый ключ чтоб потом по ключу можно было определить кто прислал сообщение, какой партнёр.

Дайте пруфлинк. Думаю, вы перепутали это с возможностью иметь несколько пар ключей.

Зачем пруф, попробуйте сами. Может я вас в заблуждение ввёл, но я говорил про подключи, они создаются на базе основного, их может быть сколько угодно и они все разные.

Что мне нужно для этого сделать?

Не работал с gpg, не знаю как в ней с подключами работать.

Во, кстати нашел официальный руссифицированный ман по работе с gpg - http://www.g…page.ru.html

Подключи (существительное, а не глагол!) — это такие же пары, состоящие из открытого и закрытого ключа. При добавлении подключа он (публичная часть) подписывается основным ключом и закидывается на сервер ключей.

Почитать (на английском): http://wiki.debian.org/subkeys In other words, subkeys are like a separate key pair, but automatically associated with your main key pair.

ЗЫ В очередной раз восхищаюсь писательскими способностями людей из Debian: However, keeping all your keys extremely safe is inconvenient: every time you need to sign a new package upload, you need to copy the packages onto suitable portable media, go into your sub-basement, prove to the armed guards that you're you by using several methods of biometric and other identification, go through a deadly maze, feed the guard dogs the right kind of meat, and then finally open the safe, get out the signing laptop, and sign they packages.

Про подключи надо добавить в статью, можно и что-нибудь в этом роде добавить для оживления.

В том-то и дело, что закрытый-то ключ, у вас основоной (masterkey) один и тот-же, а при добавлении новых подключей итоговый открытый будет разным. Написать об этом где-нибудь в статье стоит.

Вы невнимательно прочитали последний комментарий. У подключа свой свой закрытый ключ и свой открытый ключ (пара ключей). Закрытый ключ у подключа не один и тот же. Открытая часть подключа подписывается основным ключом, после чего подключ может применяться там, где ожидается основной ключ. Подключ может быть только для подписи или только для шифрования или для того и другого сразу.

Да, но в открытый ключ входит список и всех подключей, причём при создании исходной пары один подключ будет создан автоматом. Если-же каждый раз его удалять и создавать новый подключ то в итоге можно получить сколько угодно разных открытых ключей. Подключ подписывается основным (master) автоматически. Для подписи, если не путаю, используется только основной закрытый, по крайней мере указания подключа система при подписи не спрашивает. То есть, если, например, я вам доверяю, и представляю собой некое авторитетное лицо, я подписываю ваш открытый ключ своим и теперь любой другой увидя эту мою подпись будет тоже вам доверять.

Да, открытый ключ при его экспортировании включает в себя публичные ключи подключей. Просто публичные части собираются в один файл. Поэтому результат экспорта ключа растет. Но это не значит, что главный публичный ключ (именно ключ, а не результат его экспорта) меняется при добавлении подключа.

Вы начали разговор с того, что из-за того, что "можно получить сколько угодно разных открытых ключей" из одного закрытого, поэтому "Копия закрытого ключа хранится в удостоверяющем центре, иначе свое авторство вы доказать никак не сможете". Так вот, это не так, ведь каждый подключ подписывается главным открытым ключом, который никуда не девается, а остается в составе экспортируемого представления ключа. Поэтому все могут убедиться в том, что новый вариант публичного ключа правильный.

Наглядная демоснтрация: публичный ключ до добавления подключа и после. Видно, что исходная часть никуда не делась.

Имея на руках оба ключа они и расшифровать и подделать смогут. Насчет здравомыслящих люде вы не правы, опытный преступник как раз постарается получить официальный сертификат (на краденый паспорт например), чтобы тем самым вызывать как можно меньше подозрений. А бесплатное эти подозрения лишь усилит.

PGP в Рашке не сертифицирован, поэтому его использование сразу вызовет реакцию "Что-то скрывают..." у властей. А когда используется официальный, лицензированный продукт типа КриптоПро CSP, - тогда "всё честно" и никаких подозрений. Тут ведь расчёт простой: честный человек будет использовать "честные", официальные программы, а преступник наоборот, поэтому преступнику важно любым способом выдать себя за "честного" человека.