Questa è una domanda sull'uso di Web of Trust.
Supponiamo di aver appena generato una coppia di chiavi e di aver partecipato a uno o due Key Signing Parties . Questo mi ha dato ~ 10 firme sulla mia chiave pubblica, alcune delle quali appartengono agli attivisti di OpenPGP (quindi sono ragionevolmente sicuro che ora la mia chiave appartiene al "set strong" nella rete mondiale di fiducia). Pertanto, ho pubblicato la mia chiave su hkp://keys.gnupg.net
e ho scaricato tutte le chiavi dei partecipanti nel mio keyring locale.
Allo stesso tempo, ci sono siti web come link , che sembrano automatizzare "la ricerca di percorsi nella rete di fiducia "- cioè, data la mia impronta digitale chiave e una chiave di destinazione, interroga i server delle chiavi e mostra tutti i percorsi delle firme dalla mia chiave alla destinazione.
Allo stesso tempo, il suo utilizzo richiede una grande quantità di intervento umano. Se / quando ricevo un messaggio firmato e desidero verificare la firma, devo:
- vai su quel sito (il pathfinder PGP);
- trova i percorsi delle firme;
- importa tutte le chiavi partecipanti al mio portachiavi locale;
- verifica tutte queste chiavi e firme localmente, in modo da essere protetto contro i server delle chiavi e / o i pathfinder non autorizzati.
Un'altra complicazione è che OpenPGP utilizza il suo specifico "modello di fiducia", che dice che un percorso di firma deve soddisfare alcune condizioni (profondità, livelli di fiducia, fiducia del proprietario e così via) per essere considerato.
Questo è corretto e buona pratica, ma a volte voglio solo per controllare la semplice presenza di percorsi di firma, senza imporre alcuna restrizione su di esso (che è già meglio di niente).
Ancora una volta, dico che avere un percorso di fiducia è il migliore, ma in assenza di ciò, avere un percorso di firma è almeno in qualche modo migliore che non avere nulla.
Perché non c'è uno strumento (magari integrato in GnuPG) che funzionerà per me?