Diciamo che ho una situazione in cui un mio amico ha la mia chiave pubblica OpenPGP (che è visibile pubblicamente su una pagina web, ma l'ho consegnata personalmente su un pezzo di carta), non conosco la sua chiave pubblica e ho bisogno di inviare dati crittografati a lui. Ciò significa che ho bisogno di ottenere la sua chiave pubblica in modo sicuro in modo da poter crittografare i dati con la sua chiave pubblica. Tutta la comunicazione deve avvenire tramite e-mail.
All'inizio pensavo che semplicemente cripta (non per nascondersi ma per assicurare che la sua chiave pubblica non venga cambiata durante la trasmissione) la sua chiave pubblica con la mia chiave pubblica e me la manda con una e-mail, ma in realtà questo non funziona perché in caso di MiT attacker potrebbe sostituire l'e-mail originale con uno contraffatto e anche cifrarlo con la mia chiave pubblica. In altre parole, non è possibile per me dire che la chiave pubblica che ho ricevuto è in realtà la chiave pubblica dei miei amici.
Ho corretto che non c'è altra soluzione a questo oltre al fatto che ho bisogno di ottenere la sua chiave pubblica su un pezzo di carta, verificando la sua chiave pubblica tramite un introduttore fidato (ad esempio un'autorità di certificazione), ecc.