Как начать

В предельном случае — нет: вдруг у человека паспорт на другое имя, сделанный по всем правилам на официальном бланк

А если случай предельный?

А что тогда делать в таком случае, как проверять?

Не используйте tsign. При подписании ключа такой подписью он становится мета-поручителем (в терминологии PGP), т.е. все подписанные им ключи автоматически получают полное доверие и, следовательно, подписанные ими ключи будут для Вас достоверны. Эта команда имеет смысл только в корпоративной среде для создания УЦ-подобной инфраструктуры.

А если имеет место случай, когда бланк паспорта оригинальный, а на нем левые данные плюс левая фотография, или комбинация этих вариантов.
Как тогда проверить удостоверяющий документ?

Например, так. Если есть знакомства в ФМС/МВД/детективных бюро, попросите пробить данные.

Можно и на персоналках. Допустим, главный секретный ключ связки хранится отдельно и оффлайново, где-то под другим юзером и т.д., тогда им неудобно подписывать ключи, которые вы для себя аутентифицировали, посредством lsign (подпись не экспортируется, поэтому надо будет каждый раз копировать всю связкy pubring.gpg целиком). Можно, конечно, делать обычные подписи (импортируя на ту связку с секретным главным ключом нужный ключ, подписывая, потом экспортируя обратно), но тогда есть риск, что однажды вы дадите кому-то подписанный ключ, и это порушит анонимность (у нас нет желания раскрывать даже то, какие именно ключи присутствуют на связке, а их подпись вообще сделает связь для всех прослеживаемой). Тут как раз может немного помочь такой ключ мета-поручителя. Мы его подписываем через tsign своим ключом, а потом ключом мета-поручителя подписываем чужие ключи на кейринге через lsign. Теоретически это может заработать...

Очень интересная тема. У меня тоже возникло несколько вопросов.

Например, wwwтак. Если есть знакомства в ФМС/МВД/детективных бюро, попросите пробить данные.

1) А разве собственно ФМС/МВД/ официально не предоставляют некую услугу по проверке подлинности удостоверяющих документов? Или только через них, можно только по


2) А возможно ли использование некоего официального государственного посредника между мной и тем, кто обратился ко мне для подписания его ключа. Тоесть он обращается к



3) А в чем собственно различие между Positive certification и Casual certification? С первым понятно, при личной встрече. А вот как быть со вторым? Небрежно это как?



4) Стоит ли требовать от желающего ксерокоопию его удостоверяющих документов, законно ли такое требование, или он может послать на законных основаниях? Что может дать



5) Собственно сам процесс/ деятельность такого рода по заверению чужих ключей каким либо образом регламентируется законодательными актами на территории РФ?

Заверение ключей законом не регламентируется, по крайней мере пока это бесплатное и неофициальное занятие на уровне развлечений. Ключи может заверять кто угодно, этим потенциально подрывается только репутация заверяющего. Вообще, отчего такой интерес именно к заверению ключей? Пусть, к примеру, Денис Попов — известный программист, который подписывает своим ключом разные программы. Если вы доверяете его ключу, то когда он подпишет своим ключом ключ другого программиста — Васи Пупкина, то на основании подписи Дениса Попова можно будет с большей вероятность доверять и ключу Васи Пупкина. Но если Денис Попов для вас — не авторитет, то и его подписям на чужих ключах вы доверять не будете. А все эти паспортные проверки — это уже совсем утопия. Изначально было скорее расчитано на доверие, идущее от некоторой тусовки разработчиков или активистов, где многие известны и за её пределами, и знают друг друга внутри, и подделать отношения доверия между ними сложно. Подписи по типу нотариальных — это больше для центров сертификации и S/MIME.

Не слышал о таком. За удостоверяющие документы не поручусь, но, например, документы об образовании посторонний проверить точно не сможет (разве что по косвенным признакам, анализируя сам бланк).


Ага, очень смешно.


Без должного уровня провреки. Расплывчато всё это, каждый сам для себя решает, что это значит. Может быть, в Web of trust есть какие-то рекомендации.


При наличии сообщников в банке например, повесить на вас кредит. Ещё можно на вас по интернету открыть счёт в платёжной системе и отмывать через него деньги за терроризм и наркоту.


Не путайте сеть доверия PGP с этим.


Нет, только морально-репутационную.


Да.

— unknown (10/03/2015 14:49)

— Гость (10/03/2015 15:42)

Не занимайтесь переливанием из пустого в порожнее, есть конкрентые вопросы и должны быть конкретные ответы

Степень долженствования конкретности достаточна по мнению отвечающих.

Никак не регламентировано, и это фича. Пользователь может самостоятельно сформулировать свою политику сертификации, для её указания есть штатная опция --cert-policy-url (см. man gpg).

Пока читал про --cert-policy-url, наткнулся на это:

--no-for-your-eyes-only

Set the `for your eyes only' flag in the message. This causes GnuPG to refuse to save the file unless the --output option is given, and PGP to use a "secure viewer" with a claimed Tempest-resistant font to display the message. This option overrides --set-filename. --no-for-your-eyes-only disables this option.

и подумал, как же много в OpenPGP было запихнуто архитектурно совершенно ненужного... PGP-кмбайн не настолько проще SSL-комбайна, как это можно было бы подумать.