La mia chiave PGP ha davvero bisogno di abbinare l'indirizzo e-mail per il quale la userò?

Naviga le tue risposte
20

Nel considerare se voglio o meno aderire alla grande rete della fiducia e mettere le mie chiavi su un server chiave, ho avuto modo di pensare a come avrebbe influito sull'esposizione del mio indirizzo e-mail. Generalmente cerco di mantenere i miei indirizzi di posta elettronica troppo pubblici, in modo da evitare spam indesiderati.

Lungo questa linea di pensiero, ho iniziato a chiedermi: se (sentiti libero di correggermi se ho torto) una chiave PGP è in realtà una rappresentazione della mia identità personale , fa veramente deve essere associato ad ogni indirizzo e-mail che userò? Ha addirittura bisogno di essere associato a un indirizzo e-mail? In caso contrario, quali sono i pro e i contro di entrambe le implementazioni?

A mio parere, se qualcuno riceve un messaggio con la mia firma digitale su di esso, dovrebbe (in teoria) essere in grado di verificare che il messaggio provenga da me indipendentemente dall'indirizzo di invio. Allo stesso modo, se qualcuno vuole mandarmi una e-mail crittografata, possono (in teoria) farlo con la mia chiave pubblica e essere certi che non importa dove andrà questa e-mail, solo io sarò in grado di leggerlo.

Quindi, qual è il vero affare qui?

    
posta Iszi 03.06.2011 - 07:30
fonte

2 risposte

9

Dipende da come stai usando PGP.

Dalla versione 10.0 del client PGP Desktop, la crittografia e la decrittografia sono fluide e automatiche da un client rich Outlook.

Se il tuo indirizzo email è uguale a quello presente nella tua chiave PGP, puoi inviare un'email con una semplice regola, come qualsiasi cosa tu abbia impostato Sensibilità su Riservato > Encrypt. Anche tutti i messaggi crittografati ricevuti a questo indirizzo email verranno decrittografati automaticamente. Durante il lancio verso utenti non tecnici, abbiamo trovato questo vantaggio importante.

Non puoi sempre associare il tuo vero indirizzo email con la chiave PGP e crittografare il contenuto manualmente. Oppure inserisci i dati in un documento, crittografalo e invialo via email. Vice versa per ricevere e-mail crittografate.

Hai ragione non ha effetto sulla firma. Sebbene di nuovo se lo invii con un indirizzo e-mail al server globale PGP aperto, esso viene firmato da quella chiave e se la parte ricevente ha importato la chiave globale PGP, riceveranno un bel bordo blu intorno all'email che dice che questa firma e-mail ha stato verificato Altrimenti sarà rosso e dire che la firma non può essere verificata. Non ha effetto sulla validità crittografica della firma solo l'esperienza dell'interfaccia utente

Quindi è davvero un confronto tra enumerazione e enumerazione della posta elettronica. Considerando che l'indirizzo email è usato come nome utente in molti servizi, e almeno il filtraggio dello spam di Gmail è estremamente buono (io uso anche il servizio unsubscribe.com perché sono pigro). Personalmente non avrei problemi con l'associazione del mio indirizzo email con la mia chiave PGP e la pubblicazione sul server globale.

    
risposta data 03.06.2011 - 10:47
fonte
5

Se non vuoi utilizzare PGP per dare fiducia ai corrispondenti di email normali, puoi inserire tutte le informazioni di identificazione che ti piacciono: email alternativa, URL web, numero di telefono o nessuna. In genere, in genere, desideri utilizzarlo per rivendicare un attributo di identità univoco.

Nota che stai anche chiedendo ad altri che firmano la tua chiave di garantire ciò che hai messo lì. Possono verificare un nome tramite un ID foto e un'email inviandoti qualcosa. Buoni firmatari vorranno prove che tu abbia controllato un sito web, ecc.

    
risposta data 03.06.2011 - 07:55
fonte

Leggi altre domande sui tag

Quale tipo di contenuto è meglio non trasferire tramite e-mail? Come usare postMessage in modo sicuro