Qual è il punto dei server delle chiavi pubbliche, se di solito non richiedono alcuna autenticazione sul caricamento? [duplicare]

1

Offrono alcun vantaggio per la sicurezza della distribuzione delle chiavi?

    
posta Name 02.08.2013 - 21:39
fonte

1 risposta

8

I server a chiave pubblica non sono pensati per portare sicurezza; hanno lo scopo di rendere le chiavi pubbliche disponibili . La sicurezza è raggiunta, nel caso di PGP, attraverso il Web of Trust : le firme di persone sulle chiavi di altre persone. Un server a chiave pubblica è semplicemente un repository in modo che tu possa trovare più facilmente chiavi pubbliche intermedie con firme tra la tua e quella del destinatario previsto.

Una chiave pubblica non è considerata sicura perché è stata appena scaricata da un server delle chiavi; i server delle chiavi hanno nessuna idea se le chiavi che contengono siano autentiche o meno. Una chiave pubblica è ritenuta corretta perché è possibile verificare un numero sufficiente di catene di chiavi firmate dalla propria chiave a quella chiave. Come hai ottenuto le chiavi non è importante; avrebbero potuto imbattersi in qualche connessione HTTP, su chiavette USB, su nastri magnetici trasportati dai cammelli attraverso il deserto australiano, non importa. Un server a chiave pubblica è quindi solo un enorme cammello.

Senza i server delle chiavi, ogni utente PGP avrebbe, quando invia un'e-mail firmata, inviare insieme ad esso una serie di altre chiavi firmate in modo che il destinatario possa convalidare la firma. Questo sarebbe ingombrante e non si adatta bene alla struttura del WoT. Con una PKI più centralizzata, come il modello prevalente in X.509 , l'invio di "certificati di supporto" è fattibile; questo è ciò che fanno i server SSL: quando un server SSL invia a un client di connessione il suo certificato, invia effettivamente una catena di certificati .

    
risposta data 02.08.2013 - 21:57
fonte

Leggi altre domande sui tag