О проектеНовостиРуководстваЛитератураСловарьFAQФорумРусификацииСофтСсылкиKeyserverКонтактыПоиск 
PGP в России. Защита ваших секретов

Руководства

Назад Версия для печати Дальше Уменьшить размер шрифта Увеличить размер шрифта

RobotCA


Для автоматизации и ускорения процессов по укрупнению Сети доверия была создана специальная система – верификатор сертификатов ключей – RobotCA. Как было отмечено выше в разделе "О сертификатах ключей", поручительство в подлинности ключа требует предварительно совершить ряд шагов по проверке связи между ключом, сведениями сертификата и предполагаемым владельцем: удостоверить личность владельца, убедиться, что он обладает закрытым ключом и владеет контактными координатами, указанными в сертификате. RobotCA, не заботясь о проверке личности, берёт на себя исполнение последних двух пунктов. Его протокол работы выглядит так:

  1. Пользователь отправляет роботу свой открытый ключ.
  2. Робот подписывает каждую запись сертификата, содержащую email-адрес, зашифровывает этим же ключом пользователя и отправляет копии по всем email-адресам, которые обнаружил в сертификате.
  3. Пользователь извлекает ответ робота (свой ключ, заверенный подписью робота), расшифровывает его и импортирует эту подписанную копию к себе на связку.

Понятно, что если пользователь не имеет доступа к любому из email-адресов либо вовсе не имеет соответствующего закрытого ключа, он не сможет получить заверенную роботом копию открытого. Подпись RobotCA действительна в течение одного года.

Если теперь пользователь отправит письмо новому корреспонденту, имеющему открытый ключ робота, тот может быть уверен во взаимосвязи открытого ключа и email-адресов, указанных в его сертификате. Не забывайте: взаимосвязь ключа и email-адресов – это единственное, что подтверждает робот.

Но даже такое подтверждение не несёт стопроцентной гарантии. Самая очевидная атака на протокол RobotCA основана на методике "человек в середине": злоумышленник создаёт ключ с email-адресом жертвы, отправляет ключ роботу, тот подписывает сертификат, зашифровывает открытым ключом и возвращает по указанному в сертификате адресу. Злоумышленник, находясь на канале связи, перехватывает сообщение и получает в своё распоряжение заверенную роботом собственную фальшивку.

Как было отмечено выше, каждый открытый ключ может иметь определённый пользователем уровень авторитетности в сертификации других ключей. Не стоит наделять ключ робота максимальной степенью доверия. Лучше ограничиться средним уровнем, и использовать подпись RobotCA как вспомогательную оценку подлинности, не полагаясь на неё как на абсолютный источник доверия подписанным открытым ключам.

Ключ RobotCA заверен многими авторитетными ключами прочного набора и сам является его важнейшим звеном, часто фигурируя в списке заверителей при поиске цепочек сертификации между ключами Сети доверия.

Интерфейс робота

Передать ключ роботу можно тремя способами: по электронной почте на адрес robot ca at toe hold dot com (вставьте ASCII-блок в тело письма и убедитесь, что не используете MIME-форматирование сообщения) или посредством предложенного ниже интерфейса, вставив целиком ASCII-блок открытого ключа либо введя только его ID, и тогда робот заберёт ключ самостоятельно с общественного сервера.

Вставьте ASCII-блок открытого ключа:



Или введите его восьмибайтовый ID:



i

Робот использует базу данных сервера http://pgp.mit.edu. Если используете второй метод передачи ключа роботу (по ID), убедитесь, что ваш ключ опубликован в сети депозитариев pgp.net.


Открытые ключи робота

Открытые ключи робота можно получить на официальном сайте RobotCA. Вот они:

  • Новый ключ робота:
    Robot CA (http://www.toehold.com/robotca/)
    <robotca@toehold.com> (0xC521097E)

    9A53 74CE 8CC3 13FB E2D2 1183 1058 1685 C521 097E
  • Старый ключ робота:
    Robot CA <robotca@toehold.com> (0x8A7C07CD)
    8892 8E43 A246 6979 ED0F 109C 1989 CFC6 8A7C 07CD

Ключи соответствуют типу DH/DSS и совместимы со всеми новыми версиями PGP и GnuPG.

Страница 2 / 2


Оцените это руководство:





Возврат к началу страницы