È buona norma includere un URL di download della mia chiave pubblica GPG nella mia firma e-mail?

2

Mi chiedevo se posso inserire un URL di download per i miei destinatari per ottenere facilmente la mia chiave pubblica GPG nella mia firma email.

Questa è una buona pratica? In caso contrario, qual è una buona alternativa?

    
posta Thomson 13.03.2014 - 11:32
fonte

3 risposte

1

Ho inviato le mie chiavi a server chiave conosciuti come link e ho inserito l'ID della chiave nelle firme di posta elettronica in uscita.

    
risposta data 13.03.2014 - 11:50
fonte
1

Ordina. C'è una pratica consolidata con la quale le persone pubblicizzano le loro impronte digitali e costruiscono un'associazione duratura tra la loro identità e quella chiave. Anche gli URL sono utili per questo scopo.

Come sottolinea @Philipp, non convalida l'e-mail corrente. Ma se si invia sempre l'impronta digitale e il destinatario può vedere che l'impronta digitale in una e-mail di 6 mesi fa corrisponde alla propria impronta digitale oggi, ha la certezza che quella chiave sei tu. D'altra parte, se improvvisamente dici "Questo è molto importante, puoi decrittografarlo, ecco la mia chiave" e questa è la prima volta che lo fai pubblicizzare, questo è fishier.

Voglio fare una distinzione qui tra pubblicazione e pubblicità. Quando carichi la tua chiave su un server delle chiavi come suggerito da @ user3244085, stai pubblicando la tua chiave - mettendola da qualche parte in modo che altre persone possano prenderla se vogliono andare a prenderla . D'altra parte, se metti la tua impronta digitale o un link chiave nella tua email, i post del tuo blog, le tue interazioni sulla rete, allora stai pubblicizzando - stai creando attivamente un record pubblico che altre persone possono vedere quando determina la tua autenticità.

    
risposta data 13.03.2014 - 14:30
fonte
1

Potresti. Ma tieni presente che:

  • è inutile convalidare l'e-mail corrente, perché chiunque lo ha forgiato potrebbe anche falsificare la chiave.
  • quando il ricevitore salva la tua chiave e la usa per convalidare la corrispondenza futura, dimostra solo che sia la vecchia che la nuova email sono state manipolate dallo stesso aggressore.

I tasti per la convalida di un mezzo di comunicazione dovrebbero preferibilmente essere scambiati su un supporto diverso, perché in tal caso un utente malintenzionato dovrebbe controllare i entrambi canali di comunicazione per impersonare te. Il riferimento dell'altra parte a un server delle chiavi è un'opzione.

    
risposta data 13.03.2014 - 14:13
fonte

Leggi altre domande sui tag