Quando recuperi le informazioni di qualcuno da un server delle chiavi per aggiungerlo al tuo portachiavi pgp, ciò avviene tramite keyserver non crittografati, a meno che l'utente non lo abbia caricato su link . Anche in questo caso, dato che i server di chiavi si sincronizzano tra loro, le persone normalmente ti aggiungeranno dalle connessioni http, come quando utilizzi hkp: //keyserver.ubuntu.com.
Quindi l'intero che aggiunge chi è sempre in chiaro?
Sì, è più o meno consustanziale al Web of Trust in OpenPGP. Nel Web of Trust, è possibile convalidare una chiave pubblica costruendo una catena di chiavi pubbliche, ciascuna firmata dalla chiave pubblica precedente, da una chiave ritenuta attendibile (la propria) fino alla chiave da verificare. Funziona solo finché può recuperare una tale catena, principalmente interrogando i server chiave. Infatti, dato che il WoT è un sistema di "tutti è un'autorità di certificazione", dovresti costruire parecchie catene, senza collegamenti comuni, in modo che tutte queste prove ridondanti si sommino in un discreto livello di fiducia nella chiave pubblica di destinazione.
Un modo per vedere che è il seguente: firmando la chiave di qualcun altro, vouch per il collegamento tra l'identità e la chiave di quel qualcun altro. Annunciate al mondo in generale: sì, questa è la sua chiave, l'ho verificata. Ha poco senso fare un annuncio del genere ... senza effettivamente fare l'annuncio. Per definizione, la firma delle chiavi è destinata a essere pubblica.
Il Web of Trust di PGP è in effetti in contrasto con privacy . Anche se "PGP" sta per "Pretty Good Privacy ", il Web of Trust di PGP non ha mai avuto lo scopo di nascondere l'esistenza della relazione tra le persone.
Vedi p. 90, "Come evitare la rete della fiducia", di PGP & GPG: Email per il pratico paranoico di Michael W. Lucas.
Se fai il lavoro nel modo giusto, no:
Tutto questo è pubblico, condivisibile e firmato e impronte digitali .
Il tuo provider (o Charles) potrebbe persino vedere che ti sono state scambiate alcune chiavi, ma non puoi sapere quale hai aggiunto realmente al tuo portachiavi (o anche se ne aggiungi uno).
Per esempio, puoi scaricare l'intero keyring pubblico da un server delle chiavi ma non memorizzare nessuna chiave o solo una ...
Se verifica l'impronta digitale fornita da terze parti (in alternativa, in modo affidabile, come carta, telefono, fax, sms ecc.) di qualsiasi certificato pubblico, il trasporto non ha importanza.
Il miglior metodo riconosciuto per capire questo e far crescere la tua rete personale, è partecipare a key signing party dove le persone si scambiano le impronte digitali, mostrando i suoi passeport personali e a casa, ognuno di loro firma la chiave degli altri ...
OpenPGP non richiede un trasporto sicuro per assicurarsi che nessuno abbia a che fare con le firme, poiché l'intero sistema si basa sulle firme sulle tue chiavi che possono essere fornite solo dal titolare di una chiave privata.
I pacchetti ricevuti da un server delle chiavi potrebbero essere manomessi, ma tu (o il tuo cliente OpenPGP) lo riconoscerai quando convaliderà le firme. Non ci si può fidare della risposta del server delle chiavi (lo conosci e ti fidi del proprietario, comunque?), Quindi la convalida automatica delle firme dovrebbe essere eseguita da un client OpenPGP (ad esempio, GnuPG lo fa). Dopo questa convalida, puoi avere la certezza che ogni firma è stata emessa dal detentore della chiave privata.
Una connessione crittografata non solo garantisce il trasporto inalterato dei dati, ma assicura anche che nessuno possa vedere ciò che stai trasmettendo. Senza uno, qualsiasi "uomo nel mezzo" può vedere le chiavi che stai trasmettendo.
Il punto della rete di fiducia è che si incontra fisicamente e si verifica qualcuno nella vita reale in una festa per la firma di chiavi. L'idea di quale sia il numero di chiavi verificate personalmente dà credito ad altre chiavi, quindi al web.
Leggi altre domande sui tag encryption privacy tls pgp