Usar uma autoridade de certificação comum será razoável, especialmente se mais do que um grupo de pessoas usar o OpenPGP. Usar essa CA não é contra a abordagem descentralizada da web de confiança, é apenas um ponto de confiança central para uma parte pequena e limitada da rede de confiança e ainda permite conexões de confiança contornando a CA.
O conceito básico que você apresentou parece totalmente bom e razoável. Algumas coisas que eu consideraria abaixo, provavelmente ainda poderiam ser estendidas por outras idéias.
Criando / escolhendo uma CA
Você pode criar sua própria autoridade de certificação, na qual definitivamente poderá confiar (e provavelmente seus funcionários também poderão fazê-lo). Se você quiser se comunicar com participantes externos, eles ainda terão que confiar em sua AC.
Também existem CAs bem integradas na rede de confiança. De maior importância é provavelmente o CAcert, e também há o alemão Heise Verlag (mas cada funcionário teria que viajar para Hannover, na Alemanha, para obter uma assinatura - provavelmente essa não é uma solução viável). O CAcert, por outro lado, oferece garantia de organização e permite que você crie facilmente certificados X.509 e OpenPGP. O CAcert possui uma das chaves OpenPGP mais bem integradas e é muito provável que seja confiável para muitos usuários do OpenPGP, e pode valer a pena ser visto como uma CA.
Servidor de chaves internas ou externas
Um servidor de chaves interno (por trás de uma VPN / Firewall / NAT) não será acessível de fora, portanto nenhum "estranho" pode consultá-lo. Isso pode ser interessante se usarmos apenas o OpenPGP internamente, mas se também os clientes e outras partes interessadas puderem se comunicar de forma privada com seus funcionários, você provavelmente deve colocá-los acessíveis à Internet, de qualquer maneira. Isso pode ser conseguido expondo seu próprio servidor de chaves à Internet e encontrando outros para sincronizar, ou confiando diretamente nos servidores de chaves já disponíveis.
Algo a ser considerado é que é difícil impedir que as chaves sejam enviadas para outros servidores principais . Algum cliente recebeu a chave e (intencionalmente ou acidentalmente carrega-a? Algum funcionário configurou mal sua configuração e usa um servidor de chaves externo em vez do local, por exemplo, quando ele queria consultar outras chaves?
Com relação a esses riscos e suas probabilidades, discutir o protocolo de proteção de senha não parece ser o principal problema. Eu não acho que os protocolos suportam isso de qualquer maneira (mas eles são baseados em HTTP, talvez a autenticação HTTP funcione?). Colocar o servidor-chave por trás de uma VPN provavelmente é a melhor solução se você quiser mantê-lo privado de qualquer maneira.
Anunciar publicamente o uso do OpenPGP também pode ser interessante, pois é um tipo de publicidade que leva a segurança e a privacidade a sério e aumenta a confiança dos clientes (futuros) na sua empresa .
Retirando Centralmente as Chaves OpenPGP dos Funcionários
Se você quiser retirar as chaves OpenPGP do funcionário, por exemplo, depois que ele sair em conflito, dê uma olhada em A possibilidade do OpenPGP de criar uma assinatura de ligação de chave de revogação . Se as chaves dos funcionários usarem essa assinatura para denotar a chave primária da AC, essa pode revogar a outra. No entanto: não estou ciente de como a implementação difundida desse recurso é.
Como alternativa, já colete certificados de revogação na criação de chaves e armazene-os centralmente - a data de revogação é fixa, mas pelo menos você tem uma rota de escape.
Você também pode querer definir a expiração da assinatura (um recurso geralmente não usado, mas amplamente implementado) para uma data não muito distante no futuro, por exemplo. um mês. Assinar automaticamente as chaves do funcionário é fácil e, se alguém deixar a empresa, a chave expirará em breve. Se o aviso chegar cedo o suficiente, você poderá até parar de fazer login antes que ele saia.
Atualizando regularmente as lojas de chaves do funcionário
Se você tiver um gerenciamento central dos computadores dos funcionários, pense em atualizar regularmente os principais armazenamentos. Os funcionários podem perceber para consultar o servidor de chaves se eles estão perdendo as informações para uma nova chave, mas eles não vão perceber para atualizar em caso de revogações, ... Considere o uso de um trabalho cron simples ou método semelhante para atualizar o armazenamento de chaves em um ex. base diária.