Hai ragione che hai bisogno della chiave pubblica PGP del tuo cliente per utilizzare PGP su
- invia a il tuo cliente informazioni riservate;
- conferma che le informazioni presumibilmente di il tuo cliente provengono effettivamente da tale fonte.
Ma è discutibile che tu possa tranquillamente ottenere la chiave pubblica PGP del tuo cliente usando solo la procedura considerata :
When a client contacts me, they would have to include their PGP public key in the e-mail
Il problema è che non sai per certo se l'e-mail che hai ricevuto contenesse la chiave pubblica PGP del tuo cliente , o una chiave pubblica apparentemente dal tuo cliente (con il nome e / o e-mail del tuo cliente) ma effettivamente realizzato da Eve che impersona il tuo cliente e Eva è l'unico detentore della chiave privata corrispondente.
Un modo per confermare che una chiave pubblica PGP appartiene a qualcuno è di eseguire un controllo incrociato dell'impronta digitale della chiave in una riunione faccia a faccia; o, per estensione, per telefono.
Un altro consiste nel verificare che la chiave pubblica sia accompagnata dalla firma che certifichi che la chiave pubblica appartiene effettivamente a chi sembra appartenere (come identificato ad esempio dal nome e dall'email nella chiave pubblica), la firma fatta da qualcuno / qualcosa per di cui disponi già di una chiave pubblica attendibile e di chi ti fidi di prendere decisioni corrette quando firmi le chiavi PGP; PGP rende questo relativamente facile, vedi rete di fiducia PGP .
Nota: se il tuo cliente è definito come chi ha effettivamente preparato l'allegato dell'e-mail , la tua procedura è sicura.
Nota: per un mezzo alternativo per ottenere la chiave pubblica presunta PGP del tuo cliente (utilizzando un server), NON per risolvere il problema di fiducia in questione , Mi riferisco a questa risposta ; dà anche il consiglio valido per provare e avere la propria chiave pubblica firmata da parti rispettabili.