Lascia che ti risponda in base a come funziona PGP / GPG. Quindi hai un file per dire X cliente e stai usando FTP come meccanismo di consegna. Si desidera garantire che i dati siano protetti (crittografati) e solo il client X può leggerli. Per fare ciò, useresti la tua chiave PGP per la firma, e useranno la loro chiave per decifrare.
You (PGP key which can be looked up on a PGP key server) --> Encrypt --> Them (decrypt)
La tua chiave PGP genera un'impronta digitale che può essere consultata. La chiave di tutto è, assicurando che il Cliente X riceva la TUA impronta digitale a CUI dovranno verificare. Ad esempio, se inserisci la tua chiave specifica, ecco come ottenere l'impronta digitale:
gpg --list-keys johndoe@mycompany
pub dsa1024/1DBD1234 2011-10-05 [expires: 2021-10-02]
uid [ultimate] VALIDATION (TESTING) <johndoe@mycompany>
sub elg4096/12347B3C 2011-10-05 [expires: 2021-10-02]
Fingerprint
gpg --fingerprint 1DBD1234
pub dsa1024/1DBD1234 2011-10-05 [expires: 2021-10-02]
Key fingerprint = 1234 EECF B9C4 6D0C 154A 5678 4B2B DE74 1DBD 9876
uid [ultimate] VALIDATION (TESTING) <johndoe@mycompany>
sub elg4096/12347B3C 2011-10-05 [expires: 2021-10-02]
Puoi quindi fare in modo che il Cliente X verifichi la tua chiave in base alle corrispondenza delle impronte digitali . Quindi vediamo come posso ottenere da questo come attaccante. Come attaccante, devo sapere a chi è destinato il file. Avrei bisogno di crittografare il mio malware fingendo di essere te. Ma come posso "falsificare / imitare" la tua impronta digitale? Non posso Posso provare a installare un registratore di tasti, attendere che tu inserisca la tua password, rubare la tua chiave pubblica e privata. Se ciò accade, hai molti più problemi da affrontare. MA ... Posso generare il mio proprio codice PGP / GPG fingendo di essere te, caricarlo su un server di chiavi GPG / PGP, firmare QUALCHE COSA fingendo di essere te. Se il destinatario NON verifica l'impronta digitale, sono fatti.