it-swarm-id.com

Apa arti dari penandatanganan kunci?

Apa sebenarnya arti "penandatanganan kunci"?

Jadi misalnya saya memiliki kunci GPG pribadi/publik sehingga orang dapat mengirim saya email terenkripsi, karena mereka tahu kunci publik saya. Tetapi: apa arti penandatanganan kunci dalam contoh ini? E.g .: "orang ketiga menandatangani kunci publik saya (bagaimana?)."

Dan yang paling penting: Di mana orang lain dapat melihat bahwa kunci saya ditandatangani oleh orang lain?

35
LanceBaynes

OK, seperti yang Anda katakan, Anda memiliki kunci pasangan pribadi/publik sehingga saya dapat mengirimi Anda email terenkripsi, karena saya tahu kunci publik Anda.

Tapi bagaimana saya tahu kunci publik Anda? Jelas, karena Anda memberi tahu saya apa itu, dan jika Anda memberi tahu saya melalui saluran yang aman - misalnya Anda menulisnya di selembar kertas dan menyerahkannya kepada saya secara pribadi - maka itu tidak masalah.

Tetapi jika Anda mengirim email kepada saya melalui saluran tidak aman, bagaimana saya bisa tahu bahwa Eve tidak mencegat email Anda dan mengganti kunci Anda dengan miliknya? Kemudian Eve bisa membaca email terenkripsi saya, karena saya akan mengenkripsi itu dengan dia kunci.

Ini adalah masalah nyata karena jika kita hanya mendapatkan Internet sebagai saluran komunikasi kita maka menurut definisi itu tidak aman untuk digunakan untuk bertukar kunci. Tidak mungkin, karena kami belum bertukar kunci.

Salah satu caranya adalah dengan melibatkan pihak ketiga yang kami berdua percayai. Sebut saja dia Bob.

Bob memiliki banyak saluran aman untuk orang-orang. Dia punya satu untuk saya dan jadi saya tahu kunci publiknya. Dia punya satu untuk Anda, dan Bob tahu kunci publik Anda.

Yang dapat dilakukan Bob adalah mengambil kunci publik Anda, dan mengenkripsi pesan "kunci publik Lance adalah 1834827384747343636" dengan kunci pribadinya. Dia kemudian memberikan pesan terenkripsi itu kepada Anda. Bob telah menandatangani kunci Anda.

Sekarang, jika Anda ingin mengirim saya kunci publik Anda, Anda cukup mengirim saya kunci yang ditandatangani melalui saluran tidak aman. Saya tahu itu berasal dari Anda, bukan Hawa, karena saya bisa mendekripsi dengan kunci publik Bob, dan saya percaya Bob.

Jadi, kami telah mengubah masalah "Graham dan Lance membutuhkan saluran aman di antara mereka" menjadi masalah "Graham membutuhkan saluran aman ke Bob" dan "Lance membutuhkan saluran aman ke Bob".

Kedengarannya kami tidak membuat segalanya lebih baik, sampai Anda menyadari bahwa sekarang alih-alih mengkhawatirkan mengatur saluran aman ke D.W. dan Lucas dan Schroeder dan Thomas dan Rory dan Graham dan semua orang di Internet, Anda hanya perlu khawatir mendapatkan saluran yang aman untuk Bob, sekali.

38
Graham Hill

Di PGP, penandatanganan kunci merujuk pada fakta bahwa apa yang sering disebut kunci PGP (publik) bukan hanya kunci publik, tetapi sertifikat.

Sertifikat kunci publik adalah kombinasi yang ditandatangani antara kunci publik, pengidentifikasi (dan mungkin atribut lainnya). Mereka yang menandatangani dokumen ini secara efektif menyatakan keaslian pengikatan antara kunci publik dan pengidentifikasi, dengan cara yang sama seperti otoritas penerbit paspor menegaskan pengikatan antara gambar dan nama dalam paspor.

Sertifikat X.509 adalah satu jenis sertifikat, yang paling umum digunakan untuk komunikasi SSL/TLS. Mereka hanya dapat memiliki satu tanda tangan, yang mengarah ke Infrastruktur Kunci Publik yang hierarkis.

Sebaliknya, sertifikat PGP dapat memiliki beberapa tanda tangan. Sejumlah individu sebenarnya dapat menjamin untuk mengikat antara kunci publik dan identitas yang dimaksud dalam sertifikat PGP. Berbagai tanda tangan ini memungkinkan untuk membangun model Web-of-Trust, sehingga Anda tidak harus bergantung pada hierarki tunggal untuk membangun kepercayaan pada sertifikat.

Saat Anda menandatangani kunci PGP (lebih tepatnya, kunci dan pengenal terkaitnya), Anda memasukkan pengenal dan tanda tangan ke daftar orang-orang yang menjamin hal ini. Ada tanggung jawab tertentu yang terkait dengan hal ini, karena Anda perlu percaya bahwa hubungan ini benar melalui beberapa cara lain (mis. Dengan melihat formulir ID resmi).

Agar orang lain melihat bahwa kunci Anda ditandatangani oleh orang lain, Anda dapat memberikannya sendiri versi terbaru (tidak nyaman) atau menerbitkan kunci Anda ke server distribusi utama. Orang yang mau menggunakan kunci Anda akan mengambil versi yang diperbarui dengan tanda tangan baru sesekali (atau ketika mereka perlu menggunakan dan memverifikasinya).

8
Bruno

Menentukan kunci secara efektif adalah cara untuk mengatakan bahwa Anda percaya kunci itu benar dan terkait dengan individu atau identitas tertent (terima kasih @Bruno). Orang yang memercayai Anda kemudian dapat memilih untuk memercayainya berdasarkan fakta bahwa Anda telah menandatanganinya.

Menandatangani berarti Anda menandatangani sertifikat kunci secara digital. Anda tidak membutuhkannya, tetapi Anda akan melihat dengan PGP misalnya, bahwa setiap kunci pada kunci Anda memiliki nilai kepercayaan yang terkait dengannya. Menandatangani kunci memungkinkan Anda untuk memindahkan indikator kepercayaan lebih tinggi.

Untuk PGP, misalnya, ketika Anda telah menandatangani kunci, Anda dapat mengunggahnya ke salah satu penyimpanan kunci pgp mereka sehingga orang lain dapat melihatnya. Atau Anda bertukar kunci di pesta penandatanganan kunci atau secara langsung.

7
Rory Alsop

mengenkripsi kunci publik dengan kunci pribadi disebut 'Menandatangani kunci'

4
KawaiKx

Penandatanganan kunci dalam sistem kunci publik adalah pernyataan matematis bahwa ada hubungan antara kunci (sekelompok angka dalam urutan tertentu) dan subjek (seseorang atau identitas utama). Penandatanganan kunci membangun atau memperkuat kepercayaan pada pernyataan itu dan dengan demikian validitas kunci untuk suatu tujuan.

Dalam sistem hierarkis (misalnya X.509) kunci harus ditandatangani oleh otoritas yang lebih tinggi di pohon untuk dianggap dipercaya. Dalam sistem web-of-trust (mis. PGP klasik) pengguna dan grup menandatangani kunci untuk menunjukkan bahwa mereka mempercayai identitas yang terkait dengan kunci. Dalam hierarki, otoritas tertentu biasanya bertanggung jawab untuk menandatangani (dan mengeluarkan) kunci. Dalam infrastruktur kunci publik (PKI) berbasis web, Anda juga dapat menggunakan notaris independen.

Pihak penandatangan utama memungkinkan banyak orang dan beberapa notaris untuk berkumpul dan dengan cepat mengumpulkan beberapa pernyataan (tanda tangan) dari orang lain. Ini memperkuat web dan memungkinkan pengguna untuk dengan cepat mendapatkan poin yang mungkin mereka butuhkan dalam sistem seperti Thawte atau CACert untuk menjadi notaris atau membuka tunjangan.

3
adric

Katakanlah Alice, Bob dan Charlie semua menggunakan PGP/GPG, jadi mereka masing-masing menghasilkan keypair sekarang jika Alice akan mengirim pesan kepada Bob bagaimana Bob tahu itu benar-benar ditandatangani dengan kunci Alice, itu bisa menjadi kunci beberapa penyerang yang baru saja dihasilkan dan setup dalam nama Alice. Sekarang katakanlah Charlie telah bertemu Alice dan Bob di waktu yang berbeda, dan Charlie menandatangani kunci Alice dan Alice menandatangani kunci Charlies dan sama antara Bob dan Charlie. Sekarang Bob menerima pesan Alice dan berkata, oh, Charlie telah menandatangani kunci ini dan aku percaya pada Charlie karena itu aku juga percaya pesan ini memang dari Alice.

Sekarang metode aktual yang digunakan untuk melakukan penandatanganan adalah sama dengan metode yang digunakan untuk menandatangani pesan apa pun (pesan dalam hal ini adalah kunci publik dan beberapa metadata itu), dan biasanya satu mengunggah kunci publik ke server kunci tempat orang lain melampirkannya tanda tangan.

0
ewanm89