In base alle Domande frequenti sulla rete PGP
While a number of key servers exist, it is only necessary to send your key to one of them. The key server will take care of the job of sending your key to all other known servers.
Abbastanza conveniente. Diciamo che Bob, nonostante il consiglio di cui sopra, decide di caricare la sua chiave pubblica su due server contemporaneamente, uno dei quali è compromesso. L'utente ha fiducia in entrambi i server e non controlla se la chiave non è stata cambiata. Lui firma per il giorno.
A un certo punto i server propagheranno le chiavi e si verificherà una collisione. Uno dei seguenti accadrà:
- Il server accetterà entrambe le chiavi (molto probabilmente)
- La chiave più recente verrà rifiutata
- I server "voteranno" su ciò che ritengono sia la chiave valida (meno probabile)
Bob può ora revocare la chiave he caricata quando vuole, tuttavia supponendo (1) sopra, la chiave falsa rimarrà indefinitamente con il server.
La mia domanda: esiste un modo per un utente di convalidare la chiave corretta per gli altri server (onesti)? Forse inviando un'e-mail firmata con la chiave corretta? O esiste un altro sistema di risoluzione dei conflitti?
Correzione: quando dico "conflitto", intendo due chiavi pubbliche corrispondenti allo stesso indirizzo email.