Quando firmi una chiave PGP / GPG, cosa stai dicendo esattamente a tutti quelli che vedono la tua firma? Stai convalidando la persona o l'indirizzo email?
Per spiegare cosa intendo, prendi i seguenti due esempi:
Convalida la persona: "Confido che la chiave 0x559E3EE8
appartenga a Bob in contabilità, personalmente mi ha consegnato un pezzo di carta con quella chiave pubblica a pranzo. L'indirizzo email di Bob è, ma se lo elenca come uno dei suoi UID nella sua chiave, sono abbastanza sicuro che appartenga a lui.
Convalida dell'indirizzo email (UID): "Confido che la chiave 0x559E3EE8
appartenga a [email protected]
; non so chi sia nella vita reale, ma abbiamo inviato crittografato e-mail avanti e indietro, e so perfettamente che può decifrare e leggere le e-mail che gli mando, come a volte cita le cose che gli ho scritto.Posso anche essere sicuro che non ci sia nessuno in mezzo tra il mio computer e il suo mail server. "