Förtroende och tillit

Författare: Per Tunedal (pt_at_radvis.nu)
Datum: 2003-01-29 15:37:49

• Nästa brev: Janne Morén: "Re: Förtroende och tillit"
• Tidigare brev: Christian Rose: "Re: PO-diff var: Re: GnuPG första ofullständiga försöket"
• Nästa i tråden: Janne Morén: "Re: Förtroende och tillit"
• Svar: Janne Morén: "Re: Förtroende och tillit"
• Svar: Jan D.: "Re: Förtroende och tillit"
• Brev sorterade efter: [ datum ] [ tråd ] [ ämne ] [ författare ] [ bilaga ]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hej!
Jag har stora problem med begreppet "trust" och dess olika nivåer. Eftersom
det är mycket centralt när det gäller PGP-kryptering är det viktigt att
översättningen blir vägledande för användarna. Begreppet förekommer också i
alla krypteringsprogram jag översätter: GPG, WinPT, GPGrelay, GPGOE
och  EudoraGPG.

Språkbruket är ibland lite förvirrande eftersom det talas om förtroende för
en nyckel, fast det egentligen handlar om förtroende för innehavaren av
nyckeln.

Grunden för kryptering och signering är att man bara krypterar med betrodda
nycklar som man själv eller någon man litar på har kontrollerat. På samma
sätt litar man bara på signaturer med nycklar som är kontrollerade.

Ownertrust=Förtroende för innehavarens förmåga att rätt
kontrollera och signera andras nycklar.

Effekt av angivet förtroende:
En nyckel är betrodd om något av följande gäller:
- - du signerat den själv
- - den är signerad av en nyckel du har fullt förtroende för
- - den är signerad av 3 nycklar som du har visst förtroende för
Dessutom måste samtidigt något av följande gälla:
- - det är högst 5 steg från nyckeln till din egen nyckel i signaturkedjan.
- - det är högst 5 steg från nyckeln till en nyckel med "ultimate" förtroende.

"Ultimate" innebär alltså att nyckeln jämställs med din egen nyckel! I
praktiken är det oftast din egen nyckel tex om du skapar ett nyckelpar
(hemlig och öppen nyckel) på en säker dator. Sedan exporterar du enbart den
öppna nyckeln till en osäker dvs internetansluten dator. Du vill sedan
kunna signera nycklar på den säkra datorn med din hemliga nyckel, exportera
de signerade nycklarna till den osäkra datorn och där kunna använda de
signerade nycklarna! Mycket praktiskt och säkert, men kanske inget för
nybörjaren  :-)

Du kan också tänkas ge ultimatförtroende till en nyckel (!) som tillhör
ditt företags säkerhetschef eller liknande. Det är även tänkbart (men
kanske inte att rekommendera) att ha ultimat förtroende för en
certifieringsmyndighet (CA) dvs. någon myndighet som kontrollerar och
signerar nycklar.

(Att fundera på: Teknik som kontkurrerar med PGP-kryptering: Kryptering och
signering med certifikat bygger att vissa certifikatutfärdare dvs CA har
"ultimate" förtroende! I Windows installeras automatiskt ett stort antal
CA-nycklar "certifikat" som har "ultimate" förtroende dvs. det är inte du
som finns högst upp i signeringskedjan! Allt som är signerat med en nyckel
som längst upp i kedjan har en signatur från tex VeriSign litar du
automatiskt på ...)

"Fully" innebär däremot bara att du har fullt förtroende för innehavarens
förmåga att på ett riktigt sätt kontrollera att en nyckeln verkligen
tillhör den uppgivna innehavaren innan nyckeln signeras.

"Marginally" innebär att du tror att innehavaren har en viss förmåga att
kontrollera etc

"I do NOT trust" innebär att du vet att innehavaren signerar nycklar utan
att kontrollera dem ordentligt.

Nivåer:
- - Don't know
- - I do NOT trust
- - I trust marginally
- - I trust fully
- - I trust ultimately

Gamla översättningen av GPG:
- - Vet inte
- - Jag litar INTE på denna användare
- - Jag litar marginellt på denna användare
- - Jag litar fullständigt på denna användare
- - Jag litar helt och hållet på denna användare (även: "ovillkorligen")

Det är skillnaden mellan "fully" och "ultimate" som vållar mest huvudbry.
Det är mycket viktigt att alternativen inte förväxlas!

Ultimate=definitivt, ytterst, orubbligt, förbehållslöst enligt mina ordböcker.

Kanske kan man översätta det med "blint"?

Förslag:
- - Vet inte.
- - Jag litar INTE på denna nyckelinnehavare.
- - Jag litar delvis på denna nyckelinnehavare.
- - Jag litar fullständigt på denna nyckelinnehavare.
- - Jag litar lika mycket på nyckelinnehavaren som på mig själv (ultimat
förtroende).

Jag har också funderat över följande översättningar av "ultimate":

Ultimat: Jag litar lika mycket på nyckelinnehavarens förmåga att
kontrollera och signera andras nycklar som på min egen förmåga.

Ultimat: Jag jämställer en signatur från nyckelinnehavaren med en
signatur från mig själv. Jag är helt säker på att kontroll och
signering av nycklar görs på rätt sätt.

Ultimate: Jag litar ovillkorligt på innehavaren.

Ultimate: Jag litar förbehållslöst på innehavaren.

Ultimate: Jag litar blint på innehavaren. (Låter som man inte
kollar!)

Har någon en bra idé?

Per Tunedal

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.0 (MingW32) - GPGrelay v0.9096

iD8DBQE+N+dsV+WjFXkFqqkRAk9ZAKCkg7MlkVph3oKGHdibFqPU6+YASgCgv0C5
CVIpMApgTrR2QqceRLpaKMQ=
=n5x2
-----END PGP SIGNATURE-----

• Nästa brev: Janne Morén: "Re: Förtroende och tillit"
• Tidigare brev: Christian Rose: "Re: PO-diff var: Re: GnuPG första ofullständiga försöket"
• Nästa i tråden: Janne Morén: "Re: Förtroende och tillit"
• Svar: Janne Morén: "Re: Förtroende och tillit"
• Svar: Jan D.: "Re: Förtroende och tillit"
• Brev sorterade efter: [ datum ] [ tråd ] [ ämne ] [ författare ] [ bilaga ]

Arkiv genererat av hypermail 2.1.6.