Содержимое байта флага доверия

этого открытого ключа. Если владельцем является А, и поэтому этот открытый ключ должен появиться также и в связке личных ключей, то полю доверия владельцу автоматически присваивается значение наивысшее доверие (ultimate trust). Иначе PGP спрашивает пользователя А о том, какой уровень доверия следует приписать владельцу этого ключа и А должен ввести подходящее значение. Пользователь может указать, что этот владелец неизвестен, ненадежен, минимально надежен или вполне надежен.

2. Когда добавляется новый открытый ключ, к нему можно добавить одну или несколько подписей. Позже можно включить и другие подписи. Когда добавляется подпись, PGP выполняет поиск в связке открытых ключей, чтобы выяснить, значится ли имя автора этой подписи среди известных владельцев открытых ключей. Если да, то значение поля OWNERTRUST этого владельца присваивается полю SIGTRUST данной подписи. В противном случае соответствующему полю присваивается значение неизвестный пользователь.

3. Значение поля соответствия ключа вычисляется на базе значений полей доверия подписей данного элемента связки. Если по крайней мере одна подпись имеет значение наивысшее (ultimate) в поле доверия подписи, то в поле соответствия ключа устанавливается значение полное (complete). Иначе PGP вычисляет взвешенную сумму значений полей доверия. Для подписей с максимальным уровнем доверия назначается вес 1/Х, а подписям со средним уровнем доверия назначается вес 1/Y, где X и Y являются параметрами, задаваемыми пользователем. Если общая сумма весов поставщиков комбинаций "ключ/идентификатор пользователя" достигает 1, то считается, что соответствие надежно и для поля соответствия ключа устанавливается значение полное (complete). Таким образом, при отсутствии наивысшего доверия для полного соответствия потребуется по крайней мере X подписей с максимальным уровнем доверия, или Y подписей со средним уровнем доверия, или некоторая подходящая их комбинация.

Периодически PGP выполняет проверку связки открытых ключей, чтобы поддерживать согласованность. По существу, это нисходящий процесс. Для каждого поля OWNERTRUST при такой проверке PGP просматривает связку, находит все подписи, автором которых является данный владелец, и обновляет значения полей SIGTRUST, чтобы эти значения соответствовали значению поля OWNERTRUST. Весь процесс начинается с ключей, для которых указано наивысшее доверие. После этого значения всех полей KEYLEGIT пересчитываются на базе имеющихся подписей.

На рис. 7 показана примерная схема связывания доверия подписи и соответствия ключа. На рисунке отображена структура связки открытых ключей. В данном случае пользователь получил несколько открытых ключей, какие-то непосредственно от их владельцев, а какие-то от третьей стороны, например с сервера ключей.

Вершина, обозначенная на рисунке "Вы", представляет элемент связки открытых ключей, соответствующий данному пользователю. Этот ключ, очевидно, соответствует владельцу, поэтому значением поля OWNERTRUST является наивысшее доверие. Для любой другой вершины поле OWNERTRUST в связке ключей имеет значение неопределенное доверие, если только пользователем не задано некоторое другое значение. В данном примере пользователь указал, что он всегда доверяет подписывать другие ключи пользователям D, E, F и L. Частичное доверие подписывать другие ключи получили пользователи А и В.

Таким образом, закраска или отсутствие таковой для вершин на рис. 10.7 указывает уровень доверия, определенного для этих пользователей. Древовидная структура говорит о том, какими пользователями были подписаны соответствующие ключи. Если ключ был подписан пользователем, чей ключ также присутствует в данной связке ключей, от подписанного ключа к подписавшему данный ключ пользователю идет стрелка. Если ключ подписан пользователем, ключа которого в данной связке ключей нет, стрелка идет от подписанного ключа к знаку вопроса, означающему, что подписавшая ключ сторона данному пользова-телю неизвестна.

Рисунок 10.7 - Пример модели доверия PGP

На рис. 10.7 проиллюстрированы следующие моменты.

1. Обратите внимание на то, что все ключи, владельцам которых полностью или частично доверяет данный пользователь, были подписаны этим пользователем, за исключением вершины L. Такая подпись пользователя не всегда необходима, как здесь это имеет место для вершины L, но на практике большинство пользователей, скорее всего, подпишут ключи большинства владельцев, которым они доверяют. Поэтому, например, даже если ключ Е уже был подписан надежным поставщиком F, пользователь решил подписать ключ Е лично.

2. Мы предполагаем, что двух отчасти надежных подписей достаточно для того, чтобы сертифицировать ключ. Следовательно, ключ пользователя Н расценивается системой PGP как надежный (т.е. соответствующий вла-дельцу), ввиду того, что он подписан пользователями А и В, которым данный пользователь отчасти доверяет.

3. Ключ может быть определен как надежный, если он подписан одной вполне надежной или двумя частично надежными сторонами, но может ока-заться, что пользователю этого ключа не доверяется подписывать другие ключи. Например, ключ N является надежным, поскольку он подписан стороной Е, которой данный пользователь доверяет, но подписывать другие ключи стороне N не доверяется, поскольку данный пользователь не присвоил N соответствующее значение уровня доверия. Поэтому, хотя ключ R и подписан стороной N, система PGP не считает ключ R надежным. Такая ситуация имеет совершенно определенный смысл. Если вы хотите послать секретное сообщение некоторому адресату, совсем не обязательно, чтобы вы доверяли этому адресату хоть в какой-то степени. Необходимо только, чтобы вы были уверены в том, что имеете надежный открытый ключ соответствующего пользователя.

4. На рис. 7 показан также пример отдельной "вершины-сироты" S, с двумя неизвестными подписями. Такой ключ мог быть получен с сервера ключей. PGP не может считать этот ключ надежным только потому, что этот ключ пришел с имеющего хорошую репутацию сервера. Пользователь должен объявить этот ключ надежным, подписав его лично или сообщив PGP о том, что он готов полностью доверять одной из сторон, уже подписавших данный ключ.

В качестве резюме можно сказать следующее. Выше уже отмечалось, что одним открытым ключом в связке открытых ключей можно связать несколько идентификаторов пользователей. Это может иметь место, например, в том случае, когда некоторая сторона изменила свое имя или выступает посредством подписей под многими именами, указывая для себя, например, разные адреса электронной почты. Так что открытый ключ можно рассматривать как корень некоторого дерева. Открытый ключ имеет некоторое число связанных с ним идентификаторов пользователей с рядом подписей, ассоциированных с каждым из этих идентификаторов. Привязка конкретного идентификатора пользователя к ключу зависит от подписей, связываемых с этим идентификатором пользователя, так что степень доверия данному ключу (для использования этого ключа в целях подписания других ключей) оказывается функцией всех соответствующих подписей.