Аутентификация с использованием GPG

Question

Я читал об аутентификации, как внутриполосной, так и внеполосной. Я знаю, что можно подписать свой собственный ключ GPG, а затем другие могут проверить подписывающего лица, используя свой отпечаток пальца.

Я также прочитал GPG ключевой вопрос подписания размещена по адресу: https://stackoverflow.com/questions/34234/how-does-gpg-key-signing-work-and-how-is-it-done

не является такой тип аутентификации уязвим для человека в середине атак? Как полностью проверить подлинность без использования цифровых подписей?

PS: Я рассмотрел следующие способы аутентификации: подписанные сообщения GPG (электронные письма), SMS (вне полосы), использование общего секретного пароля, применение протокола социалистического миллионера и неопровержимая аутентификация, основанная на нулевом знании.

Какой из перечисленных выше продуктов лучше всего подходит для предотвращения людей в средних атаках, а также обеспечивает хорошее количество аутентификации?

Answer 1

Защита от нападений «человек-в-середине» - это ваши мозги :-) При подписании ключей GPG спросит вас, действительно ли вы проверили личность владельца ключа, точно так же, как GPG howtos (e.g. this one) предупредит вас, осторожно, что вы здесь делаете:

Вы должны только подписывать ключ как аутентичный, когда вы АБСОЛЮТНО УВЕРЕНЫ, что ключ действительно аутентичен !!!. Поэтому, если вы уверены, что у вас есть ключ самостоятельно (например, на стороне подписания ключа), или вы получили ключ с помощью других средств и проверили его (например, по телефону) с помощью механизма отпечатка пальца. Вы никогда не должны подписывать ключ на основе любого предположения.

При подписании ключа вы несете ответственность за проверку личности владельца ключа. В отличие от CACert (у которого есть defined procedure how to verify ones identity), нет общей политики, как эта проверка должна быть выполнена. Затем, с другой стороны, GPG делает это для вас, кому вы доверяете, чтобы вводить новые ключи.

Это означает:

• Вы должны сделать сами ознакомиться, как проверить, что ключ действительно принадлежит человеку идентификатор ключа говорит. Руководящие принципы CACert (личное собрание, проверка официальных документов, обмен отпечатками пальцев) хороши для людей, которых вы не знаете лично, для хороших приятелей вас личный обмен отпечатками пальцев (или проверка отпечатка пальца по телефону, если вы распознаете голос вашему другу) тоже должно быть достаточно
• Вы должны установить атрибут доверия ключей, принадлежащих лицам, абсолютно уверенным в том, что они понимают значение подписи и проводят тщательную проверку, как указано выше.