Co to jest identyfikator klucza OpenPGP / GnuPG?

25

Rozumiem użyteczność samego bloku klawiszy i skrótu klucza, ale nie wiem, dlaczego dodatkowe informacje byłyby potrzebne, więc nie mogę zacząć zgadywać użyteczności dodatkowej części informacji.

Konkretnie,

  • Co to znaczy
  • gdzie jest używany, oraz
  • (jak) można to ustalić, biorąc pod uwagę blok klucza publicznego?

Zazwyczaj jest wymieniana stycznie i mimochodem, co prowadzi do zamieszania, ponieważ wyraźnie spacewalk rozpoznaje różnicę między odciskiem palca a identyfikatorem , podczas gdy niektóre dokumenty GPG wydane przez Fedorę zawierają frazę

W przypadku KEYNAME zamień identyfikator klucza lub odcisk palca podstawowej pary kluczy,

co sprawia, że ​​wydaje się, że obie mają ten sam cel; ale to nie ma sensu, bo gdyby tak było, dlaczego mielibyście zacząć od obu?

Parthian Shot
źródło
Narzędzie gpg pozwala ci określić jedno z nich dla wygody. Jeśli określisz odcisk palca, wyszuka on odcisk palca, a jeśli podasz identyfikator, będzie szukał identyfikatora, który jest równy lub zawiera określony ciąg. Identyfikator jest często czytelnym dla człowieka identyfikatorem klucza. Odcisk palca jest ogólnie opisany na stronie en.wikipedia.org/wiki/Public_key_fingerprint . Jaki masz problem?
Jason C,
@JasonC Spacewalk chce mieć identyfikator, a także odcisk palca i adres URL bloku klawiszy, ale repozytorium (np. EPEL ) zapewnia tylko blok klawiszy. Teraz wiem, że mogę pobrać odcisk palca po prostu biorąc skrót klucza, ale nie wiem, czy mam pobrać identyfikator gdzieś indziej, zdecydować się na jeden i załadować go do bazy danych, zanim powiem Spacer wokół niego lub po prostu zrób go na spacer kosmiczny. Zasadniczo jest to problem dotyczący spacerów kosmicznych, który staje się znacznie łatwiejszy, gdy dowiem się więcej na temat używania identyfikatorów GPG.
Parthian Shot
@JasonC Bardziej zwięźle: będę pobierać podpisane RPM, a wszystko, co mam, to blok kluczy, więc muszę wiedzieć, czy decyduję o identyfikatorze, czy wystawca decyduje o identyfikatorze.
Parthian Shot
Czy postępowałeś zgodnie z instrukcjami instalacji EPEL / Spacewalk z fedorahosted.org/spacewalk/wiki/HowToInstall#EPELrepository lub wiki.centos.org/HowTos/PackageManagement/... i czy Spacewalk faktycznie nie zarządza pakietami z EPEL? Czy access.redhat.com/site/solutions/308983 jest istotny?
Jason C,
1
Jeśli to działa bez wypełniania go, oznacza to, że można nim zarządzać bez jego określania, a wypełnienie go nie jest pomocne. Jednak sprawdź web.archive.org/web/20130821232554/http://centosforge.com/node/…, który zawiera informacje na temat uzyskiwania odcisku palca i identyfikatora Spacewalk. Podobne instrukcje na stronie darkoperator.com/blog/2011/12/16/… . Więcej informacji na google.com/search?q=spacewalk%20package%20key%20id
Jason C

Odpowiedzi:

29

Od RFC 4880 :

Odcisk palca V4 to 160-bitowy skrót SHA-1 oktetu 0x99, po którym następuje długość pakietu dwóch oktetów, a następnie cały pakiet klucza publicznego rozpoczynający się od pola wersji. Identyfikator klucza to 64-bitowy odcisk palca niskiego rzędu.

W przypadku kluczy V3 obliczenia są podobne, ale długość klucza jest pomijana.

Innymi słowy, odcisk palca jest obliczany na podstawie stałej, długości pakietu i wreszcie części pakietu klucza publicznego. Dalsze wyjaśnienia na temat tego, co jest zawarte (a tym samym jak to obliczyć) w połączonym RFC.

(Długi) identyfikator klucza jest reprezentowany przez najniższe 64 bity i jest używany, ponieważ pełny odcisk palca jest nieprzydatną i długą wartością. Jeszcze częściej używany jest identyfikator krótkiego klucza utworzony przez 32 bity najniższego rzędu. Te krótkie identyfikatory kluczy są często uważane za mające zbyt dużą szansę na kolizje i użycie co najmniej długiego identyfikatora, jeśli nawet nie zaleca się pełnego odcisku palca.

Podsumowując w kilku słowach:

Odcisk palca to wartość skrótu obliczona na podstawie pakietu klucza publicznego. Kluczowe identyfikatory są częścią odcisku palca:

Fingerprint: 0D69 E11F 12BD BA07 7B37  26AB 4E1F 799A A4FF 2279
Long key ID:                                4E1F 799A A4FF 2279
Short key ID:                                         A4FF 2279

Czasami identyfikatory są poprzedzane, 0xponieważ są wartościami szesnastkowymi.

Jens Erat
źródło
1
Bardzo przydatny link do informacji o zderzeniach, dzięki. Możesz zmienić odpowiedź, aby powiedzieć, że nawet długie klucze są sfałszowane i dlatego nie są zalecane.
zkilnbqi
Podczas gdy krótkie identyfikatory kluczy są kute bardzo łatwo, długie identyfikatory kluczy są 2 ^ 32 razy trudniejsze do zderzenia i nadal są uważane za odpowiednie. Nawet odciski palców mogą być sfałszowane, są nawet jeszcze trudniejsze do sfałszowania (ze względu na ogromną liczbę możliwych odcisków palców).
Jens Erat,
1
Przekonał mnie link podany w odpowiedzi. Teraz mój podpis mówi „[email protected] Identyfikator pgp.mit.edu na dzień 22.03.2015” „Ma więcej sensu. Jeśli ktoś chce wysłać Ci zaszyfrowaną wiadomość lub potwierdzi, że ją podpisałeś, i tak będzie musiał znaleźć Twój klucz publiczny na serwerze kluczy, więc używanie identyfikatora klucza nie ma żadnej korzyści.
zkilnbqi