È una pratica buona e / o frequente firmare un file (con la propria chiave privata) senza crittografarlo (con la chiave pubblica del destinatario previsto?) Non sono stato davvero in grado di trovare una risposta diretta a questa domanda ovunque.
È una pratica buona e / o frequente firmare un file (con la propria chiave privata) senza crittografarlo (con la chiave pubblica del destinatario previsto?) Non sono stato davvero in grado di trovare una risposta diretta a questa domanda ovunque.
Tale firma è valida per due cose:
Protegge l'e-mail dalla modifica (ad esempio, qualsiasi modifica sarà, almeno, segnalata come tale dal software del destinatario).
Fornisce al destinatario una prova che il messaggio proviene davvero da te; tale dimostrazione può essere mostrata a terzi (è una firma , non un semplice controllo di integrità).
Nel contesto dell'email, di solito criptiamo quando firmiamo, perché se c'è un utente malintenzionato che è disposto a modificare i contenuti della posta elettronica, probabilmente è interessato a leggere anche e-mail, e probabilmente vorrete evitare anche questo. Un'e-mail firmata ma non crittografata è ancora un evento piuttosto comune, per l'effetto collaterale di rendere il consapevole del destinatario che stai usando OpenPGP; alcune persone firmano sistematicamente tutte le e-mail che inviano, anche quelle che non possono crittografare perché il destinatario non possiede alcuna chiave.
In altre situazioni, la firma senza crittografia può essere comune e buona pratica. L'esempio tipico è la distribuzione del software. In alcune distribuzioni Linux come Debian e Ubuntu , i pacchetti software sono firmati (utilizzando effettivamente il formato OpenPGP), in modo da poter essere certi di installare pacchetti originali senza backdoor inserite da terze parti malintenzionate; ma i pacchetti non sono crittografati perché sono, in definitiva, dati pubblici.
Nota che una firma da te può essere, essenza, usata come prova contro tu. Pertanto, dal tuo punto di vista, le firme sono buone fintanto che sono firme di altre persone quando inviano messaggi a tu , e non viceversa.
EDIT: la risposta che segue è stata basata sulla (errata) comprensione che la domanda riguardava la firma di un messaggio con la chiave pubblica di un destinatario.
Tipicamente, firmeresti un messaggio con la tua chiave privata e il destinatario può verificare che sei stato tu a firmare il messaggio, usando la tua chiave pubblica .
Per me non ha senso il contrario ... Chiunque può utilizzare la chiave pubblica del destinatario per firmare qualsiasi messaggio che desidera. Quindi cosa realizzeresti facendo questo?
Lo stesso vale per i messaggi crittografati, naturalmente. Chiunque può crearne uno (che di solito confonde le persone che sono abituate alla crittografia a chiave simmetrica). Ma almeno con i messaggi crittografati, nessuno può leggere il loro contenuto ma il destinatario.
Leggi altre domande sui tag cryptography encryption pgp