GPGキーサーバーを設定するつもりですが、TLS証明書を使用するときにGPG信頼を使用できるかどうか疑問に思います。たとえば、会社のGPGキーは部門のGPG鍵に署名するために使用され、部門のGPG鍵はユーザーGPG鍵に署名するために使用されます。
これはうまくいくでしょうか、それとも私がGPGの穴を間違って見ましたか?
答え1
「これは可能ですか?」
GPGキーを証明書と比較しているので、暗号化の基本的な理解がありますが、言えば、「ドットをリンクする」には十分ではないと仮定します。
他人の鍵に署名することはどういう意味ですか?
GNUプライバシーマニュアル「信頼」の概念を説明する良い項目があります。 GPG公開鍵の主なアイデアは、1人または組織が1つ以上の鍵を所有していることです。しかし、あなたが見つけた特定のGPGキーが実際に主張している人物であるかどうかを知る方法はありません。
たとえば、ドナルド・トランプという名前の鍵ペアを作成できますが、公開鍵が実際にその人物であるかどうかはわかりません。
それで「信頼のウェブ」が誕生したのです。基本的なアイデアは、誰かと直接または他の検証可能なチャネルを介して公開鍵が実際に自分のものであることを確認することです。時には、ユーザーが一緒に集まり、互いのキーに署名することがあります。主な署名者。
基本的な考え方は、あなたが私を信じていなくても、私の身元を確認した友人は信じることができるということです。私の友人を信じていなくても、彼の友人はいつでも信じることができます。
これはすぐに信頼を得るために多数の偽の鍵を作成し、互いに署名するだけでよいという意味ですか?いいえ、あなたはこれらの人々を信頼していないので、彼らの署名は本質的にあなたにとって価値がありません。
証明書とはどういう意味ですか?
証明書のデザインも似ています。彼らは公開鍵を取得し、それを確認して署名します。主な違いは、これらの署名は、確認したい人とあなたの間にチェーンを作成することではなく、確認したい人と信頼する認証機関との間にチェーンを生成することです。
全体のプロセスは、「ルート証明書」を生成する機関から始まります。その後、「ルート証明書」は中間証明書を生成し、中間証明書を使用して鍵に署名することによって証明書を生成します。
利点は、信頼が信頼ネットワークの規模ではなく、信頼する「ルート認証局」に依存することです。通常、オペレーティングシステムを作成する会社またはグループはその証明書を信頼するため、オペレーティングシステムに付属のCAを信頼します。
では、どちらを使うべきでしょうか?あなたのアプリケーションが何であるかによって大きく異なります。 GPGキーサーバーを設定し、各従業員にキーペアを提供してから、誰もが他の人に署名するようにするには、これを行うことができます。
ただし、認証領域で何かをしたい場合は、ルートCAを直接作成して会社のすべてのコンピュータに展開し、そこから証明書に署名することをお勧めします。
答え2
短い答えは「はい」ですが、長い答えはおそらくGPGについて知る必要があるということです。たくさんもっと。移行信頼はGPG(信頼ネットワークと呼ばれる)の必須機能であるため、X509 PKI証明書(いわゆるTLS)よりも複雑で構成可能です。これらの技術の主な違いは、PKIは世界的に知られている権限に依存しているのに対し、GPGは誰もが自分の権限を自分で定義したいということです(非常に簡単な説明)。信頼ネットワークの柔軟性の例については、信頼を使用した鍵の確認の章を参照してください。GnuPG マニュアル
また、あなたの質問が独自のキーサーバーを構築するという指定された目標とどのように関連しているかわかりません。このレベルの理解はあなたに危険である可能性があることを警告する必要があります。