Supponiamo che la mia chiave PGP sia stata firmata da un numero di persone e vice-versa . Inoltre, le chiavi e le firme sono state pubblicate sul server delle chiavi.
La mia comprensione è che una persona a caso che conosce la mia chiave pubblica, dovrebbe essere in grado di scoprire chi ho incontrato o almeno ha avuto abbastanza contatti per convincerli a fidarsi di me. Ma ci sono altre informazioni che potrebbero essere usate in modo malevolo, che si potrebbero trarre dalla Web of Trust?
Bene, la rete di fiducia consente a qualcuno di mappare le relazioni tra le persone. Questo è un problema di privacy e potrebbe dire alle persone cose su di te che non eri pronto a condividere.
Un esempio: dì che sei un omosessuale che vive in Arabia Saudita. Ovviamente vuoi nascondere che sei gay, quindi usi PGP per crittografare le email ai tuoi partner romantici.
Tutti firmano le rispettive chiavi, costruendo una rete di fiducia, ma non pensate di utilizzare indirizzi di posta elettronica anonimi.
Ora uno di voi commette un errore e viene raccolto dalla polizia. Riesce a gettare il suo laptop nel fiume successivo, e non viene facilmente intimidito, e usa Gmail su ssl, quindi nessuno sa con chi ha comunicato. MA la polizia trova la sua chiave su un server di chiavi pubblico, guarda le firme, segue la rete di fiducia / scrive gli indirizzi e-mail e paga a tutti voi una visita.
Probabilmente è un po 'inverosimile, ma se fossi un analista forense, probabilmente cercherò le chiavi pubbliche solo naturalmente, come una fermata sulla mia checklist (possedere una chiave pubblica implicherebbe che ci fosse comunicazione cifrata, e probabilmente vorrei sapere con chi, quindi le firme sarebbero interessanti. Ora nel mio paese gli analisti forensi digitali sono miei amici, ma in Arabia Saudita immagino che potrebbero rivelarsi un nemico molto pericoloso). / p>
Un altro scenario potrebbe essere che in realtà hai DID usato un indirizzo e-mail che non è stato rintracciabile, e non hai lasciato alcuna informazione ovvia nella tua chiave pubblica, ma poi hai detto alla tua famiglia di usare quella chiave per comunicare in sicurezza con voi. A te sconosciuto, due o tre membri della famiglia hanno firmato la tua chiave con la loro. Wham, non sei più anonimo. Ora la tua identità può essere trovata seguendo le firme dei tuoi familiari.
Non sono sicuro che questa sia la migliore delle risposte, ma come nessun altro ha ancora intensificato ...
Dipende totalmente da chi l'ha firmato e da quanto sia unico quel gruppo di persone. Se, per esempio, è stato firmato da tutti i capi di stato per il G9, probabilmente questo dice a qualcuno molto di te. Allo stesso modo, se tutti i firmatari provenissero dalla tua famiglia.
I timestamp potrebbero anche perdere informazioni allo stesso modo dei firmatari. Se tutti i timestamp di firma si sono verificati entro pochi minuti, ciò potrebbe indicare che è successo di persona, ad esempio. Sono sicuro che ci sono esempi migliori, ma spero che tu abbia la meglio.
Quanto è pratico? Non credo che sia terribile se non in alcuni casi molto limitati.
Leggi altre domande sui tag pgp web-of-trust