Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

Autenticação PGP

O objeto key-cert é usado para armazenar chaves públicas PGP no servidor. O modelo de objeto possui os seguintes atributos:

certificado de chave: [obrigatório] [único] [chave primária / consulta] método: [gerado] [único] [] proprietário: [gerado] [múltiplo] [] fingerpr: [gerado] [único] [chave inversa] certif: [obrigatório] [múltiplo] [] org: [opcional] [múltiplo] [chave inversa] observações: [opcional] [múltiplo] [] notificar: [opcional] [múltiplo] [chave inversa] admin-c: [opcional ] [múltiplo] [chave inversa] tech-c: [opcional] [múltiplo] [chave inversa] mnt-by: [obrigatório] [múltiplo] [chave inversa] alterado: [obrigatório] [múltiplo] [] fonte: [obrigatório ] [solteiro] [ ]

O atributo "key-cert:" é definido como PGPKEY-XXXXXXXX, onde XXXXXXXX é o ID da chave PGP da chave pública incluída no objeto no formato hexadecimal usual de oito dígitos sem o prefixo "0x".

A chave pública deve ser fornecida nos atributos "certif:". Geralmente, isso é feito facilmente exportando a chave do seu conjunto de chaves local no formato blindado ASCII e acrescentando cada linha da chave com a sequência "certif:". Lembre-se de incluir todas as linhas da chave exportada e também os marcadores "Begin" e "End" e a linha vazia que separa o cabeçalho do corpo da chave.

Os atributos marcados como gerados ("método:", "proprietário:" e "fingerpr:") são gerados pelo software. Eles podem ser omitidos pelo usuário ao fornecer uma chave. O software derivará esses atributos da chave real e um aviso será adicionado à mensagem de confirmação informando ao usuário que esses atributos foram adicionados. Se eles estiverem incluídos, o software ainda os derivará e comparará os valores derivados com os fornecidos. Se houver alguma diferença, os valores derivados substituirão os incorretos fornecidos. Outro aviso será adicionado ao aviso sobre a substituição.

Os outros atributos têm seus significados usuais, conforme definido no Manual de Referência do Banco de Dados AFRINIC. Este é um exemplo de um objeto de certificado de chave válido, pois pode aparecer no banco de dados:

certificado de chave: PGPKEY-4B8AE00D método: proprietário de PGP: Zola Abalo fingerpr: 9D 82 4B B8 38 56 AE 12 BD 88 73 F7 EF D3 7A 92 certificado: --- BEGIN PGP BLOCO DE CHAVES PÚBLICAS --- certificado: Versão: 2.6.3 .9ia certif: certif: mQA2AzZizeQAAAEBgJsq14YfoInVOWlLxalmR0GlUzEd9WgrUH59iXjZ certif: um / uqWiLnvN4S9rgDQAFEbQeSm2lIFRoZSBVc2VyIDxqb5VAZXhhbXB certif: iQBFAwUQNmLN83ee1n05LiuANAQFOFQGAmowlUYtF + xnWBdMNDKBiOSy certif: YvpKr8Aycn55Rb1E5onZL19981117KhNMYU / gd certif: = nfno certif: --- END PGP CHAVE PÚBLICA BLOCO --- mnt-a: EXEMPLO mNT mudou-: Zola. abalo@example.net XNUMX fonte: AFRINIC 

Se você ainda não possui um objeto mantenedor (mntner) para ser usado no atributo "mnt-by:" obrigatório, é necessário criar um novo mntner com algum outro método de autenticação (por exemplo, MD5-PW) e criar a chave Objeto -cert que referencia o mantenedor recém-criado. Depois disso, você pode alterar o mantenedor para usar a autenticação PGP com o objeto key-cert como uma chave de autenticação. Esses objetos key-cert podem ser consultados da maneira usual, procurando por uma chave específica conforme definida no atributo "key-cert:" ou usando a opção inversa com -i fingerpr.

O AFRINIC não garante que uma chave pertença a qualquer entidade específica; nós não somos uma autoridade de certificação. Qualquer pessoa pode fornecer qualquer chave pública com qualquer informação de propriedade ao banco de dados e essas chaves podem ser usadas para proteger outros objetos, verificando se a atualização vem de alguém que conhece a chave secreta correspondente.

Observe também que as assinaturas nas chaves são ignoradas. Pedimos que você limite o número de assinaturas principais ao mínimo.

 

Use no objeto mantenedor

A autenticação PGP pode ser ativada definindo o valor de um atributo "auth:" como PGPKEY - onde é o ID da chave PGP a ser usada para autenticação. Essa sequência é a mesma que é usada no atributo "key-cert:" do objeto key-cert correspondente.

Lembre-se de que se você tiver vários atributos "auth:" em um mantenedor ou se tiver vários atributos "mnt-by:" em um objeto, todos os métodos de autenticação possíveis serão combinados por um OR lógico, o que significa que qualquer uma das autenticação especificadas métodos podem ser usados. Não há vantagem de segurança no uso da autenticação PGP com um objeto que também pode ser atualizado com uma autenticação de senha criptografada.

Se você especificar um objeto de certificação de chave inexistente ou um objeto de certificação de chave de outra pessoa, você bloqueará o seu mntner. Você precisará entrar em contato com afrinic-dbm@afrinic.net para obter assistência para desbloqueá-lo. Além disso, se você excluir o objeto key-cert, novamente bloqueará o mntner até recriar o objeto key-cert. Este é um exemplo de um objeto mntner válido que usa autenticação PGP:

mntner: EXAMPLE-MNT descr: Exemplo de mantenedor admin-c: ZA4-RIPE upd-to: zola.abalo@example.net auth: PGPKEY-4B8AE00D mnt-by: EXAMPLE-MNT alterado: zola.abalo@example.net 19981117 fonte : AFRINIC 

 

Usando autenticação ao enviar atualizações

As atualizações assinadas por PGP podem ser enviadas ao banco de dados simplesmente assinando o corpo da mensagem que contém as atualizações e enviando-a para o servidor. Lembre-se de usar blindagem ASCII.

Várias partes assinadas e não assinadas por PGP podem ser fornecidas em uma única mensagem de atualização, cada parte é processada separadamente. Você pode fornecer vários objetos protegidos por diferentes chaves PGP em uma única mensagem de atualização, desde que todas as assinaturas necessárias estejam presentes. As partes PGP com assinaturas inválidas são tratadas como texto sem formatação. Se o objeto estiver protegido por um método de autenticação diferente de PGP ou tiver vários esquemas de autenticação em uso e a autenticação necessária estiver presente, ele ainda será autorizado. Se o PGP for a única forma de autenticação presente, a autenticação falhará.

A autenticação PGP pode ser combinada com qualquer uma das outras formas de autenticação no mesmo objeto mntner. Cada método de autenticação usado pode ter várias instâncias presentes. Todas as autenticações presentes em um objeto mntner são processadas com um 'OU' lógico para determinar se a autenticação é aprovada. PGP só pode ser usado com atualizações enviadas por e-mail (e não através de MyAFRINIC por exemplo).

 

Questões legais

Observe que a tecnologia de criptografia está sujeita a restrições legais em alguns países. As assinaturas PGP são baseadas na criptografia de chave pública. Consulte um advogado se não tiver certeza da sua situação local.

 

Mais informação: