Verifica dell'autenticità di una chiave pubblica senza intervento manuale?

Stai parlando dell'infrastruttura a chiave pubblica. Questo è il motivo per cui esistono autorità di certificazione e reti di fiducia. Devi avere una parte fidata per verificare il certificato (chiave pubblica). La verifica avviene firmando il certificato utilizzando una chiave privata che è considerata affidabile dalla persona con cui verrà condiviso il certificato pubblico.

Può essere una CA centrale affidabile (o una terza parte o una CA interna per un'organizzazione a cui tutti si fidano) o può essere una rete di fiducia in cui più persone firmano il certificato quando verificano le informazioni e la fiducia è stabilito in base a quanto ti fidi delle persone che lo hanno firmato. Gli schemi esatti possono variare da una rete di fiducia a un'altra, ma nel modo più semplice, se mi fido di Bob e poi di Bob si fida di Carl, posso fidarmi di Carl poiché Carl è firmato da Bob e io mi fido di Bob. Poi se Carl si fida di Dave, posso fidarmi di Dave, ma forse un po 'meno di quanto mi fidi di Carl o Bob. C'è ancora l'azione manuale di verificare originariamente Bob, ma ottengo Carl e Dave gratuitamente.

Il tuo browser è già popolato da un archivio fidato che include la chiave pubblica RSA. Tutte le interazioni con qualsiasi chiave emessa da tale CA o dalle numerose altre CA già presenti nel trust store sono, per definizione, automatiche.

In altre parole, la tua fiducia nell'editore del browser deve includere la fiducia nel proprio archivio chiavi di chiavi pubbliche per le più diffuse CA. Questa fiducia non è una cosa da poco dato che recentemente ci sono state patch ai browser per rimuovere alcune chiavi CA (ad es. link ).

Come suggerisce AJ Henderston, la fiducia non è una questione tecnica, ma piuttosto sociale. Ti fidi di Mozilla, Apple o Microsoft e quindi confida che abbiano fatto la due diligence per confermare le chiavi pubbliche della CA nei loro prodotti.