C'è qualche punto nel firmare una chiave pubblica OpenPGP che non è stata caricata su un server delle chiavi? In altre parole: qualcuno, tranne la persona A che firma la chiave pubblica della persona B, avverte che la firma è avvenuta?
Contesto: poiché non ho ancora deciso di caricare la mia chiave pubblica su un server chiave, mi chiedo se non abbia senso chiedere agli amici di firmare la mia chiave.
Web of trust? Invece di utilizzare un server di chiavi pubbliche centralizzato, tu ei tuoi amici potreste scambiare direttamente i file chiave. In tal caso le firme aggiunte farebbero qualcosa.
Tuttavia, se stai per firmarlo, e poi lasci il file sul tuo disco fisso, hai ragione che non fa molto bene agli altri (anche se penso che il portachiavi GNOME dia una sorta di priorità alle chiavi che hai firmato).
L'intera rete di idee di fiducia di OpenPGP è costruita attorno alle certificazioni (le firme di altre chiavi) disponibili pubblicamente, in modo che altri utenti possano creare percorsi di fiducia su queste. Mantenere le certificazioni private è sicuramente legittimo, ma non aiuterà gli altri (anche contattandoti).
Se condividi la tua chiave solo tra i tuoi amici, potrebbero comunque fare uso delle certificazioni rilasciate. Se la condividi anche con tutti, anche altri potrebbero farne (alcuni) l'uso quando costruiscono percorsi di fiducia, a seconda del loro bisogno di certezza e fiducia che hanno messo in te (possibilmente senza conoscerti).
Altri potrebbero benissimo importare manualmente la tua chiave ( gpg --import [file] ), firmarla ( gpg --edit-key [key-id] ) e infine esportarla di nuovo ( gpg --export [key-id] > [file] ). Ora la chiave esportata contiene la tua firma e loro possono rispedirti a te. Quando si importa il file, la certificazione viene unita agli altri sulla chiave. Se lo si esporta nuovamente, è possibile distribuire la chiave pubblica insieme a tutte le certificazioni insieme in un unico file a tutti coloro che desiderano utilizzare la chiave. Questa è più o meno la stessa operazione come recuperare le chiavi da un server delle chiavi usando gpg --recv-keys [key-id] e infine restituirle a loro usando gpg --send-keys [key-id] , solo che quest'ultimo è pubblico e rende più facile la distribuzione della chiave.
La maggior parte delle persone è abituata a caricare le chiavi dopo aver inserito le certificazioni su di esse (o usa un software che rispedisce solo le certificazioni). Ad un certo punto, qualcuno dimenticherà la tua richiesta di non caricarlo e lo farà, o semplicemente di caricare il suo portachiavi completo usando gpg --send-keys (sì, è possibile!). Aspettatevi che ogni chiave OpenPGP condivisa sia disponibile sulla rete di server chiavi in un dato momento, creando una chiave OpenPGP e condividendola in accordo con la condivisione della rete di server chiavi in qualche modo (senza volere che questa sia una scusa per carica tutto comunque, ma succederà e dovresti esserne a conoscenza).
Leggi altre domande sui tag public-key-infrastructure pgp gnupg