Immagina un servizio B2B in cui due parti devono impostare una relazione di trust bidirezionale: Alice accetterà solo le richieste di Bob, e Bob vuole sapere che le sue richieste vanno solo a Alice.
Quando imposti questa relazione, Alice e Bob devono scambiare le loro chiavi pubbliche. Ma quando si tratta di verifica, è sufficiente verificare che l'identificazione del certificato corrisponda? Oppure, Alice e Bob dovrebbero scambiare la chiave pubblica completa?
Una chiave pubblica è piuttosto lunga e l'identificazione digitale è breve, quindi l'identificazione digitale è più comoda. Ma dal momento che è più breve, significa che ha una maggiore possibilità di collisione? Quanta sicurezza viene persa utilizzando solo l'identificazione personale per identificare il chiamante anziché la chiave pubblica completa?
Questa pagina , ad esempio, suggerisce che l'identificazione personale è adatta per la verifica. Qualcuno può confermare?
E se l'identificazione digitale è sufficiente, perché servizi come Github si aspettano che tu carichi la tua chiave pubblica completa invece di una semplice identificazione digitale quando crei la fiducia?