BitMessage fornisce l'autenticazione chiave? Se è così, allora come? Come si può essere sicuri che la chiave pubblica appartiene alla persona giusta?
Da Wikipedia :
Outgoing messages contain no explicit address of the recipient of the message. Therefore, every network participant tries to decrypt every message passing through the network even if the message was not originally intended for that network participant. Since only the actual recipient can successfully decrypt the messages intended for him, all network participants know that if they fail to decrypt the message then the message was not intended for them.
Da articolo originale di Jonathan Warren :
We propose a system where users exchange a hash of a public key that also functions as the user’s address. If the public key can be obtained by the underlying protocol, then it can easily be hashed to verify that it belongs to the intended recipient... an example address would be:
BM‐2nTX1KchxgnmHvy9ntCN9r7sgKTraxczzyE.
Sembra che la chiave pubblica di un utente (o, un hash della sua chiave pubblica) sia il loro indirizzo di messaggistica. Quindi, non c'è nulla da verificare: quando si invia un messaggio a utente con chiave pubblica P , non è necessario verificare che la chiave pubblica del destinatario sia realmente P , perché si ha identificato il tuo destinatario da la sua chiave pubblica.
Per sapere se una chiave pubblica appartiene a una particolare entità del mondo reale: non puoi, proprio come non puoi facilmente verificare che un particolare indirizzo email appartiene a una particolare entità del mondo reale.
Ad esempio, vuoi inviare un messaggio ad Alice. Alice pubblica il suo indirizzo Bitmessage (ad es. Sui suoi biglietti da visita, sul suo sito Web pubblico, ecc.) Come BM‐2nTX1KchxgnmHvy9ntCN9r7sgKTraxczzyE . Esegui una richiesta di messaggio di bit P2P per ottenere la chiave pubblica associata a BM‐2nTX1KchxgnmHvy9ntCN9r7sgKTraxczzyE . Dopo aver recuperato la chiave, si verifica rapidamente che l'impronta digitale corrisponda a quella dell'indirizzo di Alice. quindi, si utilizza il sistema Bitmessage per crittografare il messaggio in modo che sia leggibile solo dalla chiave privata di Alice.
Ma come facevi a sapere che BM‐2nTX1KchxgnmHvy9ntCN9r7sgKTraxczzyE è davvero l'indirizzo di Alice? Forse qualcuno ha stampato dei biglietti da visita falsi o ha dirottato il sito web di Alice per cambiare il suo indirizzo. Forse sì, ma se lo facessero, non è un problema che Bitmessage è stato progettato per risolvere.
In effetti, la mancanza di connessione tra un indirizzo e un'entità del mondo reale sembra essere contrassegnata come una funzione :
Hiding one’s identity is difficult. Even if throw-away email addresses are used, users must connect to an email server to send and retrieve messages, revealing their IP address...
E quando si parla di messaggi broadcast (sottolineatura mia):
This would allow an individual or organization to anonymously publish content using an authenticated identity to everyone who wishes to listen.
L'uso principale di BitMessage (come presentato nel documento, comunque) sembra essere la capacità di inviare messaggi provenienti da una fonte crittografata, ma tale fonte è libera di evitare di identificarsi in qualsiasi modo reale.
Penso che qualcosa come la rete di fiducia di PGP potrebbe essere implementata sopra BitMessage per fornire la verifica dell'identità: tale autenticazione non è incompatibile con BitMessage, ma sembra essere un servizio indipendente da BitMessage (ad esempio, passaggio 1: verificare che BM‐2nTX1Kc... sia realmente l'indirizzo di Alice, passaggio 2: inviare un messaggio a BM‐2nTX1Kc... utilizzando BitMessage).
Leggi altre domande sui tag authentication bitmessage