Pregunta:
A veces, puede resultar ventajoso utilizar las relaciones de confianza existentes en un mundo de certificación, X.509 o PGP, para generar confianza en el otro mundo. En el nivel más bajo, siempre puedo tomar un certificado X.509, digamos, un certificado de firma de código o SSL autofirmado, y proporcionar una firma separada con mi clave PGP. Alguien que confía en mi clave PGP puede confiar en el certificado X.509, después de verificar la firma.
Esto implica algunos pasos manuales, pero es menos engorroso y menos propenso a errores que decirle a la gente que compare las huellas dactilares de claves largas dígito por dígito. Si no reducen la comparación detallada a un vistazo rápido o se saltan la verificación por completo …
¿Existe alguna herramienta que admita la certificación cruzada directamente, por ejemplo, el almacenamiento de un certificado "extranjero" como propiedad de un certificado "nativo", o indirectamente? ¿Algún artículo interesante que explore esos usos?
ATM Estoy investigando el problema per sé, pero lo que realmente duele es que los precios exorbitantes para la firma de códigos y los certificados SSL (servidor y cliente) dejan en la estacada a los particulares y las pequeñas empresas.
Respuesta:
Los sistemas de confianza de OpenPGP (web of trust) y X.509 (jerárquico) no son compatibles, ni tampoco las firmas (la "matemática detrás" de ambas con respecto a las claves sí lo sería, siempre que los algoritmos estén definidos para ambos, por ejemplo con RSA).
Si bien podría asignar fácilmente el sistema de confianza jerárquico X.509 a la red de confianza OpenPGP más poderosa (y compleja), al revés no es posible para una solución general. Lo que sí sería posible es generar certificados X.509 confiables para todas las claves OpenPGP validadas.
Esto requeriría software propietario (en el sentido de que no existe un estándar que defina cómo hacer esto) en cada computadora cliente que quiera validar, no conozco ninguna solución para esto.
Lo que está disponible es el complemento Monkeysphere Firefox para validar contra certificados OpenPGP en HTTPs, que intenta llevar OpenPGP a la web, pero es propietario (con la misma definición anterior) de todos modos, y nunca he visto que se use En la naturaleza.