Mi chiedevo se posso inserire un URL di download per i miei destinatari per ottenere facilmente la mia chiave pubblica GPG nella mia firma email.
Questa è una buona pratica? In caso contrario, qual è una buona alternativa?
Ordina. C'è una pratica consolidata con la quale le persone pubblicizzano le loro impronte digitali e costruiscono un'associazione duratura tra la loro identità e quella chiave. Anche gli URL sono utili per questo scopo.
Come sottolinea @Philipp, non convalida l'e-mail corrente. Ma se si invia sempre l'impronta digitale e il destinatario può vedere che l'impronta digitale in una e-mail di 6 mesi fa corrisponde alla propria impronta digitale oggi, ha la certezza che quella chiave sei tu. D'altra parte, se improvvisamente dici "Questo è molto importante, puoi decrittografarlo, ecco la mia chiave" e questa è la prima volta che lo fai pubblicizzare, questo è fishier.
Voglio fare una distinzione qui tra pubblicazione e pubblicità. Quando carichi la tua chiave su un server delle chiavi come suggerito da @ user3244085, stai pubblicando la tua chiave - mettendola da qualche parte in modo che altre persone possano prenderla se vogliono andare a prenderla . D'altra parte, se metti la tua impronta digitale o un link chiave nella tua email, i post del tuo blog, le tue interazioni sulla rete, allora stai pubblicizzando - stai creando attivamente un record pubblico che altre persone possono vedere quando determina la tua autenticità.
Potresti. Ma tieni presente che:
I tasti per la convalida di un mezzo di comunicazione dovrebbero preferibilmente essere scambiati su un supporto diverso, perché in tal caso un utente malintenzionato dovrebbe controllare i entrambi canali di comunicazione per impersonare te. Il riferimento dell'altra parte a un server delle chiavi è un'opzione.
Leggi altre domande sui tag email key-exchange gnupg