GPGキーサーバーを設定するつもりですが、TLS証明書を使用するときにGPG信頼を使用できるかどうか疑問に思います。たとえば、会社のGPGキーは部門のGPG鍵に署名するために使用され、部門のGPG鍵はユーザーGPG鍵に署名するために使用されます。
これはうまくいくでしょうか、それとも私がGPGの穴を間違って見ましたか?
ベストアンサー1
「これは可能ですか?」
GPGキーを証明書と比較しているので、暗号化の基本的な理解がありますが、言えば、「ドットをリンクする」には十分ではないと仮定します。
他人の鍵に署名することはどういう意味ですか?
GNUプライバシーマニュアル「信頼」の概念を説明する良い項目があります。 GPG公開鍵の主なアイデアは、1人または組織が1つ以上の鍵を所有していることです。しかし、あなたが見つけた特定のGPGキーが実際に主張している人物であるかどうかを知る方法はありません。
たとえば、ドナルド・トランプという名前の鍵ペアを作成できますが、公開鍵が実際にその人物であるかどうかはわかりません。
それで「信頼のウェブ」が誕生したのです。基本的なアイデアは、誰かと直接または他の検証可能なチャネルを介して公開鍵が実際に自分のものであることを確認することです。時には、ユーザーが一緒に集まり、互いのキーに署名することがあります。主な署名者。
基本的な考え方は、あなたが私を信じていなくても、私の身元を確認した友人は信じることができるということです。私の友人を信じていなくても、彼の友人はいつでも信じることができます。
これはすぐに信頼を得るために多数の偽の鍵を作成し、互いに署名するだけでよいという意味ですか?いいえ、あなたはこれらの人々を信頼していないので、彼らの署名は本質的にあなたにとって価値がありません。
証明書とはどういう意味ですか?
証明書のデザインも似ています。彼らは公開鍵を取得し、それを確認して署名します。主な違いは、これらの署名は、確認したい人とあなたの間にチェーンを作成することではなく、確認したい人と信頼する認証機関との間にチェーンを生成することです。
全体のプロセスは、「ルート証明書」を生成する機関から始まります。その後、「ルート証明書」は中間証明書を生成し、中間証明書を使用して鍵に署名することによって証明書を生成します。
利点は、信頼が信頼ネットワークの規模ではなく、信頼する「ルート認証局」に依存することです。通常、オペレーティングシステムを作成する会社またはグループはその証明書を信頼するため、オペレーティングシステムに付属のCAを信頼します。
では、どちらを使うべきでしょうか?あなたのアプリケーションが何であるかによって大きく異なります。 GPGキーサーバーを設定し、各従業員にキーペアを提供してから、誰もが他の人に署名するようにするには、これを行うことができます。
ただし、認証領域で何かをしたい場合は、ルートCAを直接作成して会社のすべてのコンピュータに展開し、そこから証明書に署名することをお勧めします。