Una cosa che ho scoperto quando ho iniziato a utilizzare PGP: Quando ho caricato le mie chiavi sul server delle chiavi SKS, il server delle chiavi non ha intrapreso alcuna azione per verificare che io sia chi pretendo di essere.
Poiché una chiave PGP contiene un indirizzo e-mail, almeno, il server delle chiavi potrebbe aver inviato una e-mail con un link all'interno che deve essere cliccato affinché la chiave diventi attiva sul server delle chiavi. Quindi saprai che la persona che ha caricato la chiave PGP non controlla l'indirizzo email che sostiene di possedere.
Perché i server di chiavi PGP non verificano la proprietà dell'account e-mail rivendicato?
Sì, comprendo il web of trust system, ma facendo semplicemente un automatismo "Fai clic su questo link per rendere attiva la tua chiave sui server delle chiavi" richiederebbe almeno che ogni impostore abbia accesso all'account e-mail, e tale un sistema potrebbe essere implementato su server con poche righe di codice.
Un'altra cosa che non so è come le persone verificano l'email rivendicata da altri alle parti che firmano la chiave? Alle parti che firmano le chiavi, le persone mostrano la loro carta d'identità. Ma non ci sono indirizzi e-mail sulla carta d'identità. Sì, oggi con l'evoluzione dello smartphone, è possibile inviare una email all'indirizzo richiesto e chiedere all'altra persona di leggerla ad alta voce, ma come hanno fatto le persone a KSP quando gli smartphone non erano una cosa importante e non si aveva accesso a l'account e-mail per il momento sul KSP? Soprattutto con account di posta elettronica che sono dietro a firewall, ad esempio account aziendali o ISP che possono essere utilizzati solo all'interno della rete autorizzata?