Adoro l'idea della fiducia decentralizzata, la rete di fiducia e il fatto che chiunque può eseguire il proprio server delle chiavi e non è costretto a un punto di errore centralizzato. Ma la "caratteristica" decentralizzata della rete di fiducia e la rete di keyserver la rendono efficacemente rotta come metodo per fidarsi degli altri? Prendi ad esempio questa critica :
What bothers me about existing keyservers? I used the phrase "fundamentally broken" not to be all trashy, but because I think there's something broken in the fundamentals. The fundamentals involve PGP itself, and are perpetuated by the keyservers:
The web of trust is really dangerous. I love the idea in theory, but I've been to a key signing party with a whole bunch of smart programmers and it was a mess. It was confusing enough that I don't think I feel comfortable generally trusting most edges in the graph.
Anyone can claim to be any email address and push it to a keyserver. This produces pretty dangerous behavior, if you just choose to look up someone by email address (or get contacted by the impostor and look up by fingerprint.) A counterargument to this is of course that the web of trust will isolate this fake account, but I have sub-problems with this: (a) people may ignore the WoT, and (b) it's very easy for an impostor to get into the web of trust. As an example, it's easy for someone to show up at a key signing party with a fake ID. Not all keysigning parties are among people who know each other, and in fact, many happen at meetup type events.
Questo mi disturba molto, perché c'è molta verità in questo. Il fatto che chiunque può pubblicare una chiave su un server delle chiavi e viene automaticamente pubblicato (cioè senza verificare che possano ricevere e-mail a tutti gli indirizzi associati alla chiave e decrittografare i messaggi con quella chiave pubblica che viene inviata al server delle chiavi) è un grosso problema . E l'intera "rete di fiducia" si basa sul presupposto che altri che hanno firmato le chiavi all'interno della rete di fiducia siano essi stessi affidabili.
Questi elementi dell'infrastruttura PGP sono intrinsecamente interrotti? La natura decentralizzata della fiducia e la rete di keyserver consentono intrinsecamente l'infiltrazione di personaggi non affidabili?