Supponiamo di avere una coppia di chiavi PGP pubblica / privata utilizzata per firmare le email.
Quando qualcuno riceve un messaggio, ovviamente non ha modo di verificare che il messaggio sia stato ~ realmente firmato da me senza aver ricevuto prima la mia chiave pubblica con altro mezzo.
C'è un modo per porvi rimedio avendo la mia chiave pubblica firmata da una CA?
La tua chiave pubblica può essere 'firmata' da qualsiasi altra chiave privata che ti piace. Tuttavia, il problema del destinatario sarà il modo in cui fidarsi del firmatario, ovvero l'onere di fidarsi dell'origine della propria chiave pubblica si è ora spostato sull'onere di fidarsi dell'origine della chiave pubblica del firmatario, quindi non è cambiato molto.
Una 'CA' è un termine vago. Se si intende una CA della catena SSL (come nelle autorità di certificazione del browser), varie CA hanno la propria chiave pubblica codificata nel browser durante l'installazione e questo elimina la necessità di verificare la chiave pubblica del firmatario con una terza parte. PGP e schemi di crittografia simili non funzionano in questo modo per una serie di motivi, ma soprattutto perché la firma di singole chiavi sarebbe proibitivamente complessa e restrittiva (pensate quanto sia complesso / lungo il processo avere un certificato SSL firmato per un sito Web, ad esempio, ora moltiplicalo con tutti i certificati PGP là fuori!)
CERT di PGP che crede di lavorare su una rete di fiducia, ovvero che il destinatario deve avere alcune chiavi pubbliche "attendibili" preinstallate sul loro portachiavi che sono state contrassegnate come attendibili da loro di solito da qualche canale laterale (telefono qualcuno e controlla la chiave impronta digitale per esempio). Se il tuo destinatario non ha una chiave pubblica attendibile per qualcuno che stai usando per firmare la tua chiave pubblica, allora devi controllare la chiave con te da qualche altro canale, ad es. chiamarti e chiederti di identificarlo tramite impronta digitale, ecc. o scaricarlo da un keystore di terze parti attendibile in cui il keystore ha un meccanismo di verifica.
Quindi, assicurati che la tua chiave pubblica sia firmata dal maggior numero possibile di portachiavi fidati e sperare che il tuo destinatario abbia una chiave pubblica firmata corrispondente attendibile, oppure chiamali per la prima installazione chiave nel loro portachiavi e conferma l'impronta digitale. Una volta installato e attendibile sul proprio portachiavi, sei pronto per andare senza ulteriori problemi di fiducia.
Leggi altre domande sui tag public-key-infrastructure certificates pgp