Qual è la differenza (in termini di sicurezza) tra il controllo dell'integrità di un pacchetto tramite pgp e le funzioni di hashing (ad esempio sha256)?
Non è pgp meno sicuro in quanto il verificatore deve fidarsi della chiave pubblica pubblicizzata dalla directory della chiave pubblica (quindi incline agli attacchi mitm)?
OpenPGP blocca anche i contenuti del pacchetto, ma in aggiunta firma crittograficamente l'hash.
Una semplice hash sum consente solo di rilevare problemi di trasmissione. non consente di rilevare gli attacchi, almeno non finché l'hash non viene verificato attraverso un canale sicuro.
Dato che la chiave del firmatario è stata convalidata ed è attendibile, OpenPGP fornisce un canale così sicuro e consente di verificare l'origine del pacchetto oltre a rilevare gli errori di trasmissione. Esistono diversi modi per convalidare una chiave OpenPGP, ma il semplice recupero di una chiave da un server delle chiavi non dovrebbe mai essere considerato uno.
La funzione di hashing viene utilizzata solo per verificare l'integrità del pacchetto per gli errori di trasmissione (operazione eseguita verificando il checksum). Non può fornire alcun modo per autenticare il creatore del pacchetto.
PGP può essere usato per verificare la firma del pacchetto (o di qualsiasi altro pezzo di dati) sulla chiave pubblica del produttore, quindi certificare la sua provenienza.
Leggi altre domande sui tag digital-signature hash pgp