Quando scarico le chiavi PGP dai keyserver in questo modo:
gpg --search-keys [email protected]
In che modo le chiavi pubbliche vengono trasferite sulla mia macchina? C'è la possibilità che un attacco MITM mi serva la chiave sbagliata?
Quando scarico le chiavi PGP dai keyserver in questo modo:
gpg --search-keys [email protected]
In che modo le chiavi pubbliche vengono trasferite sulla mia macchina? C'è la possibilità che un attacco MITM mi serva la chiave sbagliata?
Se utilizzi le firme sulla chiave per convalidarlo (come il web del modello di fiducia), allora dipenderai solo dal materiale della chiave che hai, e non dalla chiave che ti è stata fornita. Infatti, se si conosce l'impronta digitale della chiave che si desidera (con certezza), è sufficiente verificare l'impronta digitale dopo averla recuperata.
Se vuoi evitare un MITM, puoi utilizzare il protocollo hkps descritto nella pagina del server Keyserver qui: link .
Ricorda che chiunque può caricare qualsiasi chiave sul server delle chiavi, quindi solo perché ha l'email che vuoi non significa che sia la chiave giusta. Solo le firme sulla chiave (e l'attendibilità delle firme) possono aiutare a determinare se la chiave che hai è quella legittima.
Leggi altre domande sui tag key-exchange pgp