Diciamo che Bob finge di essere Alice, contraffa una e-mail non crittografata per farla sembrare Alice e la invia a John che usa Thunderbird con il plugin Enigmail.
Diciamo che Bob finge di essere Alice, contraffa una e-mail non crittografata per farla sembrare Alice e la invia a John che usa Thunderbird con il plugin Enigmail.
Bene, puoi falsificare un indirizzo email senza firmare l'email. Tuttavia, se ricevi un'email da un indirizzo e l'email è firmata, sai che non è falso. Il processo di firma ti fornirà sufficienti informazioni per verificare che l'email provenga da chi deve provenire.
Ad esempio, potresti falsificare un'email da una banca chiedendo i dettagli del cliente. Non è stato possibile falsificare una email firmata con SHA256 da una banca che richiede i dettagli del cliente. La comunicazione OpenPGP richiede che i livelli di affidabilità siano accurati. Nel caso di qualcosa come una banca, dovresti fidarti della loro chiave OpenPGP se la ricevi da loro fisicamente o (diciamo) con la tua nuova carta di credito.
Senza una rete di fiducia, l'idea alla base di OpenPGP cade. Se non sai esattamente chi ti ha dato una chiave in primo luogo, tutto ciò che puoi confermare è che la stessa chiave (proprietario sconosciuto) viene utilizzata per firmare le cose. Niente di meno, niente di più.
Leggi altre domande sui tag email-spoofing enigmail