La scorsa settimana ho scritto alla mia banca con una domanda generale. Oggi ho ricevuto un'email che mi invitava a unirsi al "Sistema di posta elettronica protetto (PGP)" . Ho chiarito che avrei dovuto unirmi per leggere la loro risposta alla mia domanda.
You have received an encrypted email:
From: $CST1, Mailbox
Subject: Your pension fund enmquiry Ref CF-123456
This is the first time you have received encrypted email from Lloyds Banking Group so you will need to set up a password (also referred to as a passphrase) to access this email and any future encrypted emails that you receive from us. Lloyds Banking Group takes online security very seriously.
Con riluttanza, ho seguito il link per iscrivermi, inventando una password per l'account. Ho ricevuto correttamente un PDF con password via email, con la risposta alla mia domanda.
Per curiosità, ho esplorato il resto di il sito , che sembra eseguire "Symantec Web Email Protection". Nella pagina delle impostazioni, ho visto che ha dato una scelta su come la banca avrebbe crittografato i messaggi per me; sia come documenti PDF con password o con crittografia a chiave pubblica .
I have an OpenPGP Key or digital ID/certificate (X.509, S/MIME) that I want to use to secure messages I exchange with site [sic].
Seguendo la prossima pagina:
If you already have a key or certificate, you may upload it and we will encrypt your messages to it.
You may upload any of the following: a PGP key (.asc), X.509 Certificate (.pem, .crt, .cer), or PKCS#12 file (.p12, .pfx).
Optional: If your key file has an associated passphrase, please enter it.
L'ultima battuta mi ha sorpreso. Ho usato la crittografia a chiave pubblica in OpenSSH e GPG. Come ho capito, le chiavi private possono avere passphrase, ma non chiavi pubbliche. Lo scopo di una passphrase è di proteggere la tua chiave sul tuo computer; come la chiave privata, dovrebbe essere tenuta segreta.
Perché una chiave pubblica dovrebbe avere una passphrase? Qual è il punto di una passphrase se la condividi con i tuoi corrispondenti?