Perché qualcuno dovrebbe creare una chiave pubblica OpenPGP con il mio nome e indirizzo email?

4

Per caso, ho digitato gpg2 --search myemailaddress sulla riga di comando e ho cercato i server di chiavi pubblici per il mio indirizzo email (in realtà avrei voluto solo cercare il mio portachiavi locale, per il quale avrei dovuto usare gpg2 -k myemailaddress ).

Con mia sorpresa, ho scoperto che c'era una chiave pubblica, creata solo pochi giorni fa, che per quanto ne so non ho creato. Non era sul mio portachiavi locale o sui portachiavi di altri computer su cui ho mai usato GPG.

Non riesco a capire come possa essere successo. Ci sono delle applicazioni che potrebbero "aiutare" a creare chiavi OpenPGP e pubblicarle, senza dirmelo o collegandole al mio portachiavi locale? C'è qualche truffa per la quale sarebbe utile?

    
posta bgvaughan 15.10.2013 - 10:33
fonte

2 risposte

4

GPG può caricare automaticamente la tua chiave pubblica e potrebbero esserci altre utilità che lo fanno. La cosa da fare è confrontare la chiave pubblica sul web con quella sul tuo portachiavi. Se corrispondono, devono essere originati dal tuo sistema poiché nessuno può crearlo da solo (questo è l'intero punto delle coppie di chiavi private pubbliche).

Se la chiave pubblica è diversa da quella generata, è possibile che qualcuno stia tentando di utilizzare la tua identità. Sembra abbastanza improbabile, quindi, vorrei cercare altre spiegazioni.

    
risposta data 15.10.2013 - 10:58
fonte
3

Le coppie di chiavi OpenPGP non hanno la stessa catena di fiducia incorporata delle coppie di chiavi X509 (certificati).

Le chiavi OpenPGP possono essere firmate in un modo Web-of-Trust ma questo è non così strongmente incoraggiato come la catena di fiducia gerarchica dei certificati X509, in cui i certificati autofirmati devono superare grandi ostacoli per essere riconosciuti nei browser, nei client di posta elettronica e nei lettori di PDF.

In parole povere, non esiste un modo pratico per garantire che nessuno pubblica una coppia di chiavi OpenPGP con gli stessi metadati. Si riduce semplicemente alla fiducia; o più specificamente che nessuno dovrebbe prendere metadati chiave sul valore nominale.

Perché qualcuno pubblicherebbe una chiave con gli stessi metadati?

Bene, quanto è noto il tuo indirizzo email? Qualcuno potrebbe presumere che stia comunicando con te se ha visto una chiave pubblica con il tuo nome o indirizzo email?

Suppongo che, a meno che tu non sia un giornalista o una persona politicamente esposta , questa era probabilmente un'applicazione o un sito web che la pensava ti stava facendo un favore, forse per una funzionalità dell'app o un servizio web che non hai mai utilizzato. Potrebbe non aver mai nemmeno affermato che lo avrebbe fatto, in quanto riteneva che avresti usato il servizio in modo sufficiente per prendere coscienza di questa "caratteristica".

Come GdD menziona, potrebbe trattarsi anche di un'applicazione in background con riconoscimento PGP che invia automaticamente una coppia di chiavi che non è stata memorizzata correttamente nella cache nel keystore principale.

    
risposta data 15.10.2013 - 11:32
fonte

Leggi altre domande sui tag