GPG 키 서버를 설정할 생각인데 TLS 인증서를 사용할 때 GPG 신뢰를 사용할 수 있는지 궁금합니다. 예를 들어, 회사 GPG 키는 부서 GPG 키에 서명하는 데 사용되고, 부서 GPG 키는 사용자 GPG 키에 서명하는 데 사용됩니다.
이것이 작동할까요, 아니면 제가 GPG 구멍을 잘못 본 걸까요?
답변1
"이것이 가능합니까?"라고 질문하지만 인프라를 통해 달성하려는 사용 사례를 제공하지 않습니다.
GPG 키를 인증서와 비교하고 있으므로 암호화에 대한 기본적인 이해가 있지만 말하자면 "점을 연결"하는 데는 충분하지 않다고 가정합니다.
다른 사람의 키에 서명한다는 것은 무엇을 의미합니까?
GNU 개인정보 보호 매뉴얼"신뢰"의 개념을 설명하는 좋은 항목이 있습니다. GPG 공개 키의 주요 아이디어는 한 사람이나 단체가 하나 이상의 키를 소유한다는 것입니다. 그러나 귀하가 찾은 특정 GPG 키가 실제로 주장하는 사람의 것인지 여부를 알 수 있는 방법은 없습니다.
예를 들어, 도널드 트럼프라는 이름으로 키 쌍을 만들 수 있지만 공개 키가 실제로 그 사람의 것인지 알 방법이 없습니다.
그래서 '신뢰의 웹'이 탄생한 것입니다. 기본 아이디어는 누군가와 직접 또는 기타 검증 가능한 채널을 통해 공개 키가 실제로 자신의 것인지 확인하는 것입니다. 때로는 사용자들이 함께 모여 서로의 키에 서명하는 경우도 있습니다.주요 서명자.
기본적인 생각은 당신이 나를 믿지 않더라도 내 신원을 확인한 친구는 믿을 수 있다는 것입니다. 내 친구를 믿지 못하더라도 그의 친구들은 언제든지 믿을 수 있습니다.
이것은 즉각적으로 신뢰를 얻기 위해 수많은 가짜 키를 만들고 서로 서명하기만 하면 된다는 뜻인가요? 아니요, 귀하는 이 사람들을 신뢰하지 않기 때문에 그들의 서명은 본질적으로 귀하에게 가치가 없습니다.
인증서는 무엇을 의미합니까?
인증서 디자인도 비슷합니다. 그들은 공개 키를 얻어 이를 확인하고 서명합니다. 가장 큰 차이점은 이러한 서명은 확인하려는 사람과 귀하 사이에 체인을 생성하기 위한 것이 아니라 확인하려는 사람과 신뢰하는 인증 기관 사이에 체인을 생성하기 위한 것입니다.
전체 프로세스는 "루트 인증서"를 생성하는 기관에서 시작됩니다. 그런 다음 "루트 인증서"는 중간 인증서를 생성하고 중간 인증서를 사용하여 키에 서명함으로써 인증서를 생성합니다.
장점은 신뢰가 신뢰 네트워크의 규모가 아니라 신뢰하는 "루트 인증 기관"에 달려 있다는 것입니다. 일반적으로 운영 체제를 만드는 회사나 그룹이 해당 인증서를 신뢰하기 때문에 운영 체제와 함께 제공되는 CA를 신뢰합니다.
그렇다면 어느 것을 사용해야 할까요? 귀하의 응용 프로그램이 무엇인지에 따라 많이 달라집니다. GPG 키 서버를 설정하고 각 직원에게 키 쌍을 제공한 다음 모든 사람이 다른 사람에게 서명하도록 하려면 그렇게 할 수 있습니다.
그러나 인증 영역에서 무엇이든 하고 싶다면 루트 CA를 직접 생성하여 회사의 모든 컴퓨터에 배포하고 거기에서 인증서에 서명하는 것이 좋습니다.
답변2
짧은 대답은 '예'이지만 긴 대답은 아마도 GPG에 대해 알아야 할 필요가 있다는 것입니다.많은더. 전이적 신뢰는 GPG(신뢰 네트워크라고 함)의 필수 기능이므로 X509 PKI 인증서(소위 TLS)보다 더 복잡하고 구성 가능합니다. 이러한 기술의 주요 차이점은 PKI는 전 세계적으로 알려진 권한에 의존하는 반면 GPG는 모든 사람이 자신의 권한을 스스로 정의하기를 원한다는 것입니다(매우 간단한 설명). 신뢰 네트워크의 유연성에 대한 예는 신뢰를 사용하여 키 확인 장을 참조하세요.GnuPG 매뉴얼
또한 귀하의 질문이 자체 키 서버 구축이라는 명시된 목표와 어떤 관련이 있는지 모르겠습니다. 이러한 수준의 이해로는 귀하에게 위험할 수 있음을 경고해야 합니다.