Importare una chiave GPG con un KeyID sembra fare affidamento sui server chiave - ma, in realtà, non è così. Un server delle chiavi è un'area di memoria non attendibile . Quando importi una chiave, non la usi prima di aver debitamente verificato che la chiave sia autentica, cioè è davvero la chiave pubblica di chi credi di possederla. Che la chiave provenga da qualche server chiave dimostra niente ; né il protocollo di trasmissione, né la stessa memoria del server di chiavi, offre alcuna protezione contro gli attacchi. E, in ogni caso, non sai chi possiede il server delle chiavi e quindi non ti fiderai di loro.
Per verificare una chiave GPG, puoi:
-
Controlla la sua impronta digitale , che è davvero un valore hash. Questo è per i casi in cui hai incontrato il proprietario della chiave e ti ha dato una copia della sua impronta digitale chiave. Le impronte digitali sono abbastanza corte da essere stampate sui biglietti da visita o scritte per telefono (ho fatto entrambe le cose). Le funzioni di hash sono resistenti al preimage secondario , e questo è abbastanza buono.
-
Se l'impronta non è disponibile, crea catene : chiavi firmate da altre persone, la cui chiave pubblica è possibile verificare (eventualmente in modo ricorsivo). Questo esercita il Web of trust , che è ciò che passa come PKI nel mondo PGP.