Come dimostrare la mia identità mediante la firma GPG su un file?

Puoi andare a una parte di firma del certificato o ottenere un certificato X509 per la tua chiave PGP e farlo verificare da una CA fidata da tutte le parti coinvolte.

È possibile utilizzare qualsiasi certificato e chiave privata per firmare un messaggio, ma è una questione di chi lo invierà a quello dovrebbe verificare tale fiducia.

Sì, è arbitrario creare una chiave falsa e pubblicarla, tuttavia se volessi veramente verificare con chi stavi parlando e volevi verificarla, dovresti prima fornire tale verifica fuori banda.

Incontrarli di persona nel modo ideale per scambiare la tua identità GPG, ma puoi anche farlo in qualsiasi modo affidabile che puoi verificare che stai parlando con la persona desiderata. Impostare una frase di sicurezza durante una riunione personale e utilizzarla per una telefonata è unidirezionale. Usare qualcosa come Signal dove hai verificato le chiavi dell'altro è un altro ottimo modo per farlo.

Una CA non implica necessariamente che tu sia chi dici di essere. Come sottolineato, un'e-mail non verificata può fare molto.

Ppk Infrastructure dimostra tecnicamente solo che una determinata chiave è stata utilizzata per applicare una firma. Hai bisogno di una fiducia organizzativa applicata alla tecnologia per ricevere una proiezione di identità.

Se si dispone di una chiave pubblicata e firmata e viene compromessa, la tecnologia saggia il sistema di validità della firma non è rotto. Eppure, in realtà, il meccanismo di identità è ora vuoto. Hai subito un furto di identità. Questo porta alla domanda su come hai protetto il tuo token di identità nella tua organizzazione. E quanto è affidabile questo per le parti coinvolte nella relazione di fiducia per i file che proteggi.