Вообще в конкретном случае с PGP разворачивать PKI совсем необязательно. С PKI требуется морока по выдаче, продлению, отзыву сертификатов. В обычном случае достаточно пары закрытый-открытый ключ

учту. спс

как вы терпите CVS? привет.

ругаться будет только если оставить дефолтную модель построения доверия. поставь trust on first use например.
а подписывают для того чтобы можно было проверить чужой открытый ключ без доверия или без связи к серверам ключей.

например, как проверить чужой открытый ключ без связи к серверам ключей?

иметь у себя всю цепочку от себя до него

именно потому что это дико неудобно этим почти никто всерьез не пользуется

я создаю бесконечное колличество сертификатов и подписываю их главным ключем, что бы для тех, у кого подписывающий ключ в доверенных эти сертификаты тоже были доверенными? так то работает?

ну, да, только я не уверен что мы терминологию одну и ту же используем

ясно. я вообще ни в чем не уверен. в общем надо искать больше информацию и пытаться осмысливать

дело в том что ассиметричная криптография как концпет гораздо проще чем весь ебаный пгп

в нем у ключа есть привязанные к нему идентификаторы пользователя (включают имя, имейл, коммент и фото, обязательно только имя ЕМНИП).
дальше, сам пгп-ключ это не просто пара открытый/закрытый, это еще и флаги разрешающие операции — сертификация, шифрование, подпись, аутентификация.
сертификация — для подписи ключей
шифрование/подпись — для собственно операций над данными
аутентификация — для.. эээ.. аутентификации в ssh например, чем принципиально отличается не знаю, не колупался.

так вот у "основного" ключа обязателен только флаг certify.
им ты подписываешь другие ключи (в том числе подключи этого же ключа)

https://alexcabal.com/creating-the-perfect-gpg-keypair/
вот классическое хауту на эту тему

т.е. можно держать ключи для повседневных операций на своей машине и в случае компроментации всей машины придти домой, достать старый eeepc с главным ключем, сгенерировать новые, сгенерировать отзывы, подписать новые, подписать отзывы, отправить всё скопом на кейсервер, потушить машину

спс  полезная инфа

от себя могу добавить что пока не представляешь до конца что делаешь, выписывай отзывы сразу и не проеби их.
иначе можно провести пять лет ожидая пока истечет ключ на основном имейле от которого ты забыл пароль.

хах, актуально.

да, так тоже работает. но желательно чтобы сама железяка давала какие-то гарантии сохранности.
понимала что ее повредили например, не позволяла слить данные через родные для нее прошивочные механизмы и т.д.