PGP 키 사인해주실 분 계십니까?

trustin의 이미지

안녕하세요.

제가 PGP 키는 생성했는데 아직 Web of Trust 에 들어가지를 못한 상황입니다. 혹시 Web of Trust 에 계신 분들 중에 제 PGP 키를 사인해 주실 분 안계십니까?

저는 다음 URL 에 리스팅된 대로 두 개의 key 를 갖고 있습니다:

http://pgp.mit.edu:11371/pks/lookup?search=Trustin+Lee&op=index&fingerprint=on&exact=on

(마지막 2005년 것은 실수로 날려먹은 것)

소프트웨어 릴리즈 관련해서 꼬옥 필요한 것이라 아무쪼록 번거로우시겠지만 trustin@gmail.com 으로 메일 부탁드리겠습니다. ^^

File attachments: 
첨부파일 크기
Image icon qq.jpg199.94 KB
trustin의 이미지

진정 한국에는 Web of Trust 에 들어있는 PGP 키 사용자가 없습니까?

몇 명 리스트를 알아내서 연락해 봐도 답장도 없고...

없는 메일 주소라 나오는 일도 허다하고...

아니면 제가 뭘 잘못했습니까 -_-?

what we call human nature in actually is human habit
--
http://gleamynode.net/

신원호의 이미지

제가 제대로 서명해서 메일로 보냈는데..
제대로 한건지 ??

나는오리의 이미지

뭐하는 곳입니까?
그리고 운영자 보물창고엔 뭐가 있는지 궁금하네요. ㅡ.ㅡ;

trustin의 이미지

우선 감사합니다. ^^;

메일 잘 받았습니다. 키가 집에 있어서 오늘 저녁에 해 보고 연락 드리겠습니다.

what we call human nature in actually is human habit
--
http://gleamynode.net/

trustin의 이미지

혹시 다른 분들도 계시면 메일 부탁드리겠습니다. 사인은 많이 받을 수록 좋으니까요...^^

what we call human nature in actually is human habit
--
http://gleamynode.net/

cwryu의 이미지

trustin wrote:
안녕하세요.

제가 PGP 키는 생성했는데 아직 Web of Trust 에 들어가지를 못한 상황입니다. 혹시 Web of Trust 에 계신 분들 중에 제 PGP 키를 사인해 주실 분 안계십니까?

저는 다음 URL 에 리스팅된 대로 두 개의 key 를 갖고 있습니다:

http://pgp.mit.edu:11371/pks/lookup?search=Trustin+Lee&op=index&fingerprint=on&exact=on

(마지막 2005년 것은 실수로 날려먹은 것)

소프트웨어 릴리즈 관련해서 꼬옥 필요한 것이라 아무쪼록 번거로우시겠지만 trustin@gmail.com 으로 메일 부탁드리겠습니다. ^^

게시판에 올리는 것만으로 알지 못하는 사람들한테 사인을 해 줘서 연결된다면 web of trust는 진짜 web of TRUST가 아니겠죠...

PGP FAQ나 GPG singing party에 대한 문서를 읽어 보시길.. 실제로 만나서 신분증의 사진까지 확인하는 게 정석입니다. :P

신원호의 이미지

Quote:
게시판에 올리는 것만으로 알지 못하는 사람들한테 사인을 해 줘서 연결된다면 web of trust는 진짜 web of TRUST가 아니겠죠...

PGP FAQ나 GPG singing party에 대한 문서를 읽어 보시길.. 실제로 만나서 신분증의 사진까지 확인하는 게 정석입니다. :P

굳이 만나서 해야 한다면 인증이나 공인 서버에서 서명이라는 키가 나오지도 않았겠죠.

cwryu의 이미지

Sara wrote:
Quote:
게시판에 올리는 것만으로 알지 못하는 사람들한테 사인을 해 줘서 연결된다면 web of trust는 진짜 web of TRUST가 아니겠죠...

PGP FAQ나 GPG singing party에 대한 문서를 읽어 보시길.. 실제로 만나서 신분증의 사진까지 확인하는 게 정석입니다. :P

굳이 만나서 해야 한다면 인증이나 공인 서버에서 서명이라는 키가 나오지도 않았겠죠.

믿지 못하실 수도 있겠지만 그 서버에 들어 있는 PGP/GPG 키 사인 "평균거리"가 가까운 연결이 많은 몇몇 사람들은 세계 이곳저곳을 자주 돌아다니면서 리얼월드에서 실제로 만나서 서로를 확인하는 키사이닝 파티에 많이 참여하는 사람들입니다.

개개인의 금융거래용 공인인증서는 금융기관에서 실명 확인을 받습니다. 프로그램이나 메일에 사용하는 인증서는 해당 회사가 실존하는 지를 확인하고 발급합니다. 결국 같은 겁니다. 개인이 개인을 확인하는 데는 필요없다고 생각하시나요?

ed.netdiver의 이미지

유명 conference에서 한다는 키사이닝이라는게 정말 사이닝이었던거군요. :D

--------------------------------------------------------------------------------
\(´∇`)ノ \(´∇`)ノ \(´∇`)ノ \(´∇`)ノ
def ed():neTdiVeR in range(thEeArTh)

신원호의 이미지

Quote:
개인이 개인을 확인하는 데는 필요없다고 생각하시나요?

지인들이야 만나지도 않아도 서로 신뢰를 하고..
사이버에서 제3자가 상대방을 인증을 해주면 그 상대방에게 인증을 받게 되면 같은 효과를 노리는게 아닌지요. 실제로도 공인인증서도 서로 체인처럼 얽혀서 인증을 해 주는 상위 인증 기관이 있는게 아닌가요?

그나저나 제가 서명한게 공동저자에 들어 가나요.
ㅎㅎ 전 노성일이 아닙니다.

monpetit의 이미지

PGP 키사이닝을 해달라는 것은 쉬운 말로 하면 신원보증을 해달라는 것 아닌가요?
흠... 전 이렇게 알고 있는데 혹시 잘못 알고 있는 거라면 지적 부탁 드립니다.

raymundo의 이미지

Sara wrote:

지인들이야 만나지도 않아도 서로 신뢰를 하고..

사이버에서 제3자가 상대방을 인증을 해주면 그 상대방에게 인증을 받게 되면 같은 효과를 노리는게 아닌지요. 실제로도 공인인증서도 서로 체인처럼 얽혀서 인증을 해 주는 상위 인증 기관이 있는게 아닌가요?

첫번째 문장의 경우는, "Sara님의 지인"이 "Sara님의 서명을 보고" "저 키가 진짜 trustin님의 키임을 믿는" 것이죠. Sara님의 지인이 곧 trustin님의 지인이 아니니 이 상황에는 맞지 않는 것 같고요.

두번째 사이버 얘기는 인증의 방향이 좀 애매해서 "제3자"와 "상대방"이 누구를 가리키는 건지 모르겠습니다만, 어쨌거나

* A는 Sara를 믿는다
* Sara는 이 키가 trustin의 키임을 보증했다
* 따라서 A도 이 키가 trustin의 키임을 믿는다

의 과정에서, cwryu님의 지적은 "뭘 보고 저 키가 trustin의 키임을 보증하느냐"는 것이지요. 잘못하면 "Sara를 믿는" A마저도 잘못된 선택을 할 수 있으니까요.

그렇지만 cwryu님의 말씀도 이 경우는 좀 과하다는 느낌이 드는 것이, trustin님의 키가 현실의 실명과 연관되어 쓰이는 게 아니잖습니까?

"소프트웨어 릴리즈"와 관련있다는 말로 봐서 개발한 프로그램에 서명을 하는 용도로 쓰일 것 같은데, 이 때 그 프로그램 개발자가 "trustin골뱅이gmail.com"라는 이름으로 활동하고 있다면 여기서는 단지
* 저 키가 trustin골뱅이gmail.com의 (더 정확히는 저 메일 주소의 소유자의) 키이다
만을 확인하면 되지 않나 싶습니다.

간단하게는 Sara님이 trustin골뱅이gmail.com 으로 메일을 보내어, "KLDP BBS에 올라온 저 키가 당신 키가 맞소?"라고 물어서 맞다는 답장이 오면 (이왕이면 답장 내용에 PGP서명을 붙여서, 저 키로 확인할 수 있으면 좋겠죠), trustin골뱅이gmail.com 과 저 키의 소유 관계는 믿을 수 있다고 생각합니다.

뭔가 말이 중언부언한데, (저 스스로도 정리가 안 되네요 죄송) 요점을 다시 얘기하면:

"나는 서울 중구에 사는 홍길동인데, 이 키가 내 것이니 싸인 좀 부탁하오"라고 했다면, 그 키에 싸인할 사람은 정말로 "서울 중구에 사는 홍길동"을 확인할 필요가 있을 겁니다. 직접 만나서 신분증까지 봐야겠죠.

그렇지만, "나는 hong@com 인데, 이 키가 내 것이니 싸인 좀 부탁하오"라고 했다면, 이 경우는 hong@com 이 현실의 누구인지는 상관할 것이 없지 않겠는가..라는 겁니다. 단지 hong@com 과 메일을 주고받아서 정말로 hong@com이 이 부탁을 했는지만 확인하면 되지 않겠는가...라는 거죠.

좋은 하루 되세요!

raymundo의 이미지

음, 다시 생각해보니, 제 얘기대로라면 어차피 PGP등은 이메일로 주고받을 때 쓰는 것이니 컨퍼런스의 키 싸이닝 자체가 불필요하다는 결론이 날 수 있겠군요. 그건 또 아닌데... -_-a;;;;

1) 이 키는 hong@com 의 키이다
2) hong@com 은 "서울 중구 사는 홍길동"의 메일이다
3) 1과2가 다 확인되었다면 =>  이 키는 서울 중구 사는 홍길동의 키이다

"서울 중구 사는 홍길동"이 대통령일 수도 있고 컴퓨터 보안의 유명한 대가일수도 있고 평범한 네티즌일 수도 있으니, 경우에 따라서 1)만 확인해도 충분하고, 2)까지 반드시 확인해서 3)을 만족시켜야 되는 경우도 있고... 그런 게 아닐까 싶네요. 이 글타래 첫 글의 요청이 어느 케이스인지는 저는 모르겠지만요. :-)

좋은 하루 되세요!

atie의 이미지

저는 trustin 님이 제가 kldp에 소개한 적도 있는 프로젝트를 진행하시는 분이라는 것을 웹페이지를 방문해 알게 되어, 따로이 GPG 키를 공개 키 서버에 올리는 다른 방법을 메일로 드렸습니다.

----
I paint objects as I think them, not as I see them.
atie's minipage

신원호의 이미지

트러스트님과 해결해서 본 스샷입니다.

좋은 프로젝트 얻으시기를 바랍니다.

댓글 첨부 파일: 
첨부파일 크기
Image icon 0바이트
trustin의 이미지

키사인은 직접 만나 주민등록증을 보여 주고 하는 것이 원칙적으로 맞다고 생각합니다. 하지만 직접 만나 해주시겠다는 분을 찾기가 정말 힘들더군요. 그렇다고 키사이닝 파티가 열릴때까지 기다릴 수도 없는 일이고...

what we call human nature in actually is human habit
--
http://gleamynode.net/

cwryu의 이미지

이런 상황이 실제로 일어나겠느냐 하실수도 있지만...

A라는 사람이 있는데 옆집에 사는 B라는 사람이 하수구를 수리하다 보니 :> A가 쓰는 네트워크 케이블을 발견했습니다. B는 A라는 사람을 속이기로 작정해서 A의 네트워크를 가로채기 시작했구요.

B는 A를 속이기 위해 A가 신뢰하는 C라는 사람의 이메일을 가장하기로 했습니다. "나 C인데 하드가 날아가서 PGP sign을 잃어버렸지 뭐야. 다시 사인해줘."라고 메일을 보냅니다. 그리고 A는 B가 가짜로 만든 PGP 공개키에 사인을 해 주고 B가 가짜로 보낸 메일을 신뢰합니다.

실존을 확인하지 않고 사인을 하면 왜 안 되냐면 그걸로는 100% 확신할 수 없기 때문입니다. (뭐 실제로 만나더라도 신분증 위조 얼굴 위조(?)하면 되지 않느냐 할 수도 있겠지만요.... :wink: )

PGP 사인이 말하는 "trust"는 인간적인 신뢰나 그 사람의 능력이나 신용에 대한 신뢰가 아니라 이 키를 사용하는 사람이 키에 쓰여 있는 그 사람 본인이 맞느냐는 보증을 말합니다. (인증서 발행업체가 하는 일도 그렇구요.)

PGP sign의 의도와 사이닝 파티에서 사용하는 원칙을 말씀드린 겁니다. 어차피 이렇게 열심히 말해도 대충 사인하는 사람들은 계속 대충 사인할 수밖에 없죠.

욱성군의 이미지

키사인이 프로젝트를 하는데에 있어서 필수적인 요소인가요?
이 글을 보다보니 pgp 가 어디에 쓰이는지 궁금해지네요 :)

manse況의 이미지

너 같음 해주겠냐.

망치의 이미지

manse況 wrote:
너 같음 해주겠냐.

우오.. kldp 에선 좀처럼 보기 힘든 악플이 등장했군요.. 8)

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

manse況의 이미지

망치 wrote:
manse況 wrote:
너 같음 해주겠냐.

우오.. kldp 에선 좀처럼 보기 힘든 악플이 등장했군요.. 8)

그러삼

raymundo의 이미지

욱성군 wrote:
키사인이 프로젝트를 하는데에 있어서 필수적인 요소인가요?
이 글을 보다보니 pgp 가 어디에 쓰이는지 궁금해지네요 :)

오픈 소스로 배포되는 패키지들의 경우 (대표적인게 리눅스에서 돌아가는 수많은...) 소스를 몰래 변조하여 배포하는 것을 걸러낼 수 있도록 패키지를 개발자의 PGP키로 서명을 하는 경우가 많지요. (저는 단 한 번도 그걸 확인해가며 체크한 적 없지만 OTL)

yum이었는지 뭐였는지는 기억이 안나는데 업데이트 프로그램 중에 반드시 레드햇의 공개키를 받아두도록 하더군요.

좋은 하루 되세요!