Come può un mittente dell'e-mail includere la sua chiave PGP, quindi posso rispondere con una e-mail cifrata?

2

Diciamo che dovrei pubblicare il mio indirizzo e-mail e la chiave PGP pubblica sul mio sito web. Quando un cliente mi contatta, dovrebbe inserire la sua chiave pubblica PGP nell'e-mail in modo che possa rispondere a loro in formato PGP crittografato, sono corretto? O c'è un altro modo per rispondere a loro senza che debbano includere la loro chiave pubblica PGP nell'email?

    
posta 02.09.2014 - 20:23
fonte

3 risposte

4

Se la chiave del corrispondente viene pubblicata su un server a chiave pubblica, ad es. pgp.mit.edu, il tuo client di posta elettronica può probabilmente trovarlo. In caso contrario, il corrispondente deve fornirlo. Leggi attentamente la risposta di fgrieu relativa alle chiavi fidate fornite nel messaggio da un altro. Non è sicuro.

(Dovresti prendere in considerazione anche la pubblicazione della tua chiave pubblica su un server delle chiavi e leggere la firma della chiave PGP / GPG: link perché una chiave firmata è meno suscettibile agli attacchi che sostituiscono la tua chiave con quella di un'altra.)

    
risposta data 02.09.2014 - 20:35
fonte
2

Hai ragione che hai bisogno della chiave pubblica PGP del tuo cliente per utilizzare PGP su

  • invia a il tuo cliente informazioni riservate;
  • conferma che le informazioni presumibilmente di il tuo cliente provengono effettivamente da tale fonte.

Ma è discutibile che tu possa tranquillamente ottenere la chiave pubblica PGP del tuo cliente usando solo la procedura considerata :

When a client contacts me, they would have to include their PGP public key in the e-mail

Il problema è che non sai per certo se l'e-mail che hai ricevuto contenesse la chiave pubblica PGP del tuo cliente , o una chiave pubblica apparentemente dal tuo cliente (con il nome e / o e-mail del tuo cliente) ma effettivamente realizzato da Eve che impersona il tuo cliente e Eva è l'unico detentore della chiave privata corrispondente.

Un modo per confermare che una chiave pubblica PGP appartiene a qualcuno è di eseguire un controllo incrociato dell'impronta digitale della chiave in una riunione faccia a faccia; o, per estensione, per telefono. Un altro consiste nel verificare che la chiave pubblica sia accompagnata dalla firma che certifichi che la chiave pubblica appartiene effettivamente a chi sembra appartenere (come identificato ad esempio dal nome e dall'email nella chiave pubblica), la firma fatta da qualcuno / qualcosa per di cui disponi già di una chiave pubblica attendibile e di chi ti fidi di prendere decisioni corrette quando firmi le chiavi PGP; PGP rende questo relativamente facile, vedi rete di fiducia PGP .

Nota: se il tuo cliente è definito come chi ha effettivamente preparato l'allegato dell'e-mail , la tua procedura è sicura.

Nota: per un mezzo alternativo per ottenere la chiave pubblica presunta PGP del tuo cliente (utilizzando un server), NON per risolvere il problema di fiducia in questione , Mi riferisco a questa risposta ; dà anche il consiglio valido per provare e avere la propria chiave pubblica firmata da parti rispettabili.

    
risposta data 03.09.2014 - 07:36
fonte
1

Alcune opzioni:

  • Ascii armatura la chiave pubblica e forniscila come allegato per tutte le email
  • Firma l'email con la chiave privata
  • Utilizza una rete di fiducia per collegare una relazione reciproca tra te e il mittente
risposta data 03.09.2014 - 01:29
fonte

Leggi altre domande sui tag