Invio di un'e-mail PGP crittografata a qualcuno che non ha ancora la mia chiave pubblica

9

Supponiamo di avere la chiave pubblica di un destinatario a cui vorrei inviare un'email, e non ho mai inviato a questa persona un'email prima. Ha senso cifrare la mia prima e-mail con questo destinatario e allegare anche la mia chiave pubblica? Possono decifrare la mia email?

(Questa è in qualche modo una sorta di "etichetta".)

grazie

    
posta Geremia 03.03.2015 - 04:20
fonte

4 risposte

14

Non hanno affatto bisogno della tua chiave pubblica per decifrare.

Hai bisogno della loro chiave pubblica per crittografare il messaggio, che decodificano con la loro chiave privata . L'unica cosa di cui hanno bisogno la tua chiave pubblica è verificare che il messaggio provenga da te. In questo senso, non ha senso allegare la propria chiave pubblica, a meno che, ad esempio, si preveda di confermare le impronte digitali al telefono poco dopo.

    
risposta data 03.03.2015 - 08:44
fonte
2

Nello schema di crittografia asimmetrico puoi ottenere due cose:

  • riservatezza dei messaggi: questo viene fatto usando la chiave pubblica di qualcuno per crittografare un messaggio. Solo il proprietario della chiave privata può decodificare il messaggio
  • autenticazione dei messaggi: questo viene fatto usando la tua chiave privata per firmare un messaggio. Chiunque abbia la chiave pubblica può verificare la firma del messaggio.

Tuttavia, questo problema è ostacolato dal fatto che ottenere la giusta chiave pubblica sia in qualche modo difficile. Se qualcuno dovesse attaccare il canale di comunicazione attraverso il quale si passa la chiave, si potrebbe essere ingannati nel pensare che la chiave del possessore sia la chiave del destinatario. Quindi, per ottenere l'autenticazione, è necessario verificare prima la chiave pubblica.

Questo di solito viene fatto attraverso la "rete di fiducia". Se non riesci a prendere la chiave di mano in mano, cerchi qualcuno di cui ti fidi (e che abbia una chiave fidata) che possa garantire il tuo destinatario. Se quella terza persona ha già una chiave per il tuo destinatario di cui si fida, può firmarla per te. In questo modo, puoi valutare che la chiave è quella giusta verificando la tua firma di terza persona. Per transitività hai una chiave fidata per il tuo nuovo destinatario.

Nel tuo caso particolare: se invii la tua chiave pubblica nell'e-mail, il destinatario non avrà modo di verificare che tu sia chi dichiari di essere. Per quello che sa, potresti essere un attaccante che prova a impersonare qualcun altro ea forgiare coppie di chiavi.

    
risposta data 03.03.2015 - 09:23
fonte
1

La chiave pubblica può essere utilizzata per inviare un'e-mail in modo sicuro al titolare della chiave privata corrispondente, tuttavia il titolare della chiave pubblica non può accertare che il messaggio provenga effettivamente da te. L'inserimento della tua chiave pubblica nell'e-mail può tuttavia essere problematico perché non è in grado di verificare che la chiave pubblica in allegato appartenga effettivamente a te. Se tutto ciò che gli interessa è che le e-mail successive provengono dalla stessa persona, allora potrebbe andar bene, ma se ha bisogno di preoccuparsi che il messaggio provenga da te in modo specifico, allora dovrebbe comunque considerare la tua chiave pubblica come non verificata fino a che non avere un'altra verifica più affidabile.

    
risposta data 03.03.2015 - 04:34
fonte
1

Ho avuto la stessa domanda e, dopo un po 'di riflessione, ritengo sia corretto inviare la tua chiave pubblica a patto di cifrare.

Quindi crittografa quanto segue con la chiave pubblica del tuo ricevitore:

  • il tuo messaggio
  • la tua chiave pubblica in basso

In questo modo quando lo decodificano, vedranno il tuo messaggio e la tua chiave pubblica. Questo è stato il destinatario del tuo messaggio può anche rispondere a te in modo sicuro, utilizzando la tua chiave pubblica per crittografare la loro risposta a voi.

    
risposta data 07.05.2017 - 10:35
fonte

Leggi altre domande sui tag